Je klant in China? Dan geldt de Chinese privacywet ook voor jou
Een hotelboeking leidde tot een uitspraak die Belgische ondernemers wakker zou moeten schudden. De Guangzhou Internet Court sprak zich uit over de toepassing van de Chinese privacywet, de Personal Information Protection Law (PIPL), in een context die opvallend vertrouwd aanvoelt: een klant gebruikt een app van een buitenlands bedrijf, zijn persoonsgegevens worden gedeeld met derde landen, en hij stemt in via een algemene checkbox.
Maar wat voor Europese bedrijven vaak als normale praktijk geldt, bleek in China in strijd met de wet. En dat is geen ver-van-mijn-bedshow. Ook bedrijven zonder vestiging in China kunnen onder de PIPL vallen. Tijd om dit ernstig te nemen.
China en data: van economische motor tot reguleringsvraagstuk
Van industrieel beleid naar digitale controle
De explosieve economische groei van China in de voorbije decennia is gebouwd op klassieke pijlers zoals arbeid, kapitaal, land en technologie. In de eerste fases draaide het om productie en infrastructuur, met indrukwekkende investeringen in fabrieken, steden en logistiek. Daarna verschoof de focus naar innovatie, met sterke groeisectoren als e-commerce, fintech en mobiele toepassingen.
Data als vijfde productiefactor
In het huidige tijdperk is data uitgegroeid tot wat de Chinese overheid zelf benoemt als de vijfde productiefactor. Informatie is niet langer louter ondersteunend, maar wordt beschouwd als een grondstof op zich — een asset die economische waarde genereert, strategische controle mogelijk maakt en maatschappelijke ontwikkelingen aanstuurt. Denk aan smart cities, algoritmische sturing van verkeer, sociaal krediet, gezichtsherkenning: allemaal gebaseerd op grote hoeveelheden data.
Deze visie verschilt fundamenteel van hoe andere machtsblokken met data omgaan. In de Verenigde Staten geldt data vooral als commercieel goed. De nadruk ligt er op innovatie, personalisatie en groei van platformbedrijven. Data wordt ingezet om winst te maximaliseren, met minder centrale overheidscontrole over de richting ervan. In Europa daarentegen staat het individu centraal: data is er verbonden aan het recht op privacy, en wordt voornamelijk benaderd vanuit het perspectief van fundamentele rechten en vrijheden.
China kiest een derde weg. Daar is data geen individueel bezit en ook geen puur handelsobject, maar een strategisch nationaal goed. Het gebruik van persoonsgegevens moet bijdragen aan maatschappelijke stabiliteit, economische autonomie en overheidscontrole. Die benadering verklaart waarom regelgeving als de PIPL niet alleen burgers rechten geeft, maar ook functioneert als instrument van nationaal belang.
Controle, vertrouwen en regulering
China beschouwt data dus niet alleen als een economische hefboom, maar ook als een geopolitiek en maatschappelijk instrument. Wie controle heeft over data, heeft macht. Daarom bekijkt China gegevensverwerking niet louter vanuit individuele rechten, maar ook vanuit nationale veiligheid en technologische onafhankelijkheid.
De regelgeving — waaronder de PIPL — past binnen die visie. Ze biedt enerzijds duidelijke rechten aan individuen (zoals het recht op informatie, inzage, correctie, verwijdering, bezwaar), maar legt anderzijds ook structurele verplichtingen op aan bedrijven die persoonsgegevens verwerken van Chinese gebruikers. Zo wil de overheid een stabiel en betrouwbaar datalandschap uitbouwen waarin burgers zich beschermd voelen en buitenlandse invloed beheerst blijft.
In een land met meer dan een miljard internetgebruikers is maatschappelijk vertrouwen essentieel voor de verdere digitalisering. Dat vertrouwen ontstaat niet vanzelf. Door duidelijke regels te creëren en afdwingbare rechten te geven, wil de Chinese wetgever vermijden dat data-exploitatie leidt tot onvrede, misbruik of instabiliteit. Dat verklaart ook waarom rechtbanken zoals de Guangzhou Internet Court effectief sancties opleggen aan bedrijven die tekortschieten.
Strenge vereisten voor lokale opslag en grensoverschrijdende overdracht
Precies daarom kent China in de PIPL en andere data-gerelateerde wetgeving ook specifieke mechanismen die het nationale belang beschermen: zo zijn er strikte vereisten rond gegevensopslag op Chinese bodem, en gelden er zeer omvattende voorwaarden voor het uitvoeren van cross-border data transfers (CBDT).
Buitenlandse bedrijven die actief zijn in of richting China, moeten dus niet alleen kijken naar toestemming van betrokkenen, maar ook naar de structurele verplichtingen die voortvloeien uit het belang dat China hecht aan soevereiniteit over zijn datastromen.
De casus: een hotelapp, een checkbox en een grensoverschrijdende transfer
De zaak die aanleiding gaf tot deze belangrijke uitspraak begon toen een Chinese consument een lidkaart kocht van een Frans hotelconcern, via een Chinese affiliate. Hij kreeg toegang tot een mobiele app en boekte via die app een hotel in Myanmar. Voor de reservatie gaf hij zijn persoonsgegevens in: naam, telefoonnummer, e-mailadres, bankgegevens. De app vroeg om in te stemmen met een privacyverklaring via een simpele checkbox. Niets ongewoons, zou je denken.
Wat de consument echter niet wist, was dat zijn gegevens gedeeld werden met een brede groep buitenlandse entiteiten binnen het concern en hun marketingpartners, verspreid over tientallen landen. De algemene privacyverklaring vermeldde dit wel, maar vaag en zonder onderscheid tussen noodzakelijke en bijkomende verwerkingen.
De consument stapte naar de rechter. Volgens hem had het hotelconcern artikel 39 PIPL geschonden: er was geen afzonderlijke toestemming gevraagd voor het delen van zijn gegevens met buitenlandse partijen, en de informatie over de ontvangers was onvoldoende transparant. Hij betoogde ook dat geen van de vier wettelijke voorwaarden voor een grensoverschrijdende transfer (artikel 38 PIPL) vervuld was.
Wat zegt de PIPL over internationale doorgifte van persoonsgegevens?
De PIPL bevat een dubbele toets voor internationale gegevensoverdrachten:
Artikel 38 stelt dat doorgifte naar het buitenland slechts toegelaten is wanneer voldaan is aan één van vier mechanismes: certificering, standaardcontract, veiligheidsbeoordeling, of andere bij wet voorziene mechanismen.
Artikel 39 vereist dat de betrokkene voorafgaandelijk afzonderlijk wordt geïnformeerd en uitdrukkelijk instemt met de doorgifte. Die toestemming moet specifiek en losstaand zijn van andere toestemmingen ("separate consent"). Een algemene checkbox voldoet dus niet.
Het oordeel van de Guangzhou Internet Court
De rechtbank oordeelde dat het hotelconcern ten dele gelijk had: de gegevens die nodig waren voor de hotelboeking in Myanmar vielen onder de uitzondering van artikel 13 PIPL (noodzakelijk voor uitvoering van het contract). Maar het delen van de gegevens met andere entiteiten, voor andere doeleinden zoals marketing of analyse, ging duidelijk verder dan nodig. Voor dat luik was afzonderlijke toestemming vereist.
De privacyverklaring was niet voldoende specifiek. De checkbox gold voor de hele verklaring, zonder onderscheid tussen noodzakelijke en bijkomende verwerkingen. Er was geen duidelijke lijst van ontvangers, geen contactgegevens, en geen informatie over hoe de betrokkene zijn rechten kon uitoefenen bij de buitenlandse partijen.
De rechtbank kende een schadevergoeding toe en beval dat alle persoonsgegevens gewist moesten worden. Een duidelijk signaal.
Ook zonder vestiging in China toch onder de PIPL: de domestic operations theory
Waarom is deze uitspraak zo relevant voor Belgische bedrijven? Omdat de PIPL extraterritoriaal werkt. Net als de GDPR geldt de wet ook voor bedrijven buiten China, als zij persoonsgegevens verwerken van personen die zich in China bevinden. Dit heet de "domestic operations" theory: als je je diensten richt op de Chinese markt, val je onder de PIPL.
Met andere woorden: heb je een app of webshop die Chineestalige klanten bedient? Bied je goederen of diensten aan in China, zelfs zonder vestiging? Dan moet je rekening houden met de PIPL en met de vereisten rond grensoverschrijdende doorgifte.
GDPR-compliance is niet het eindpunt
De uitspraak van de Guangzhou Internet Court maakt duidelijk: bedrijven die steunen op hun GDPR-compliance, zijn niet noodzakelijk in regel met de Chinese PIPL. De verschillen tussen beide wetgevingen zijn op het eerste gezicht subtiel, maar in de praktijk zeer fundamenteel.
GDPR-compliance is geen vrijgeleide onder de PIPL
Bedrijven die wereldwijd GDPR-compliant zijn, lopen alsnog het risico om onder de PIPL in overtreding te zijn. De Chinese regels voor cross-border data transfers zijn immers strenger dan die van de GDPR.
Waar de GDPR meerdere uitzonderingen en mechanismen voorziet voor internationale overdracht — zoals adequaatheidsbesluiten, contractuele noodzaak of standaardclausules — vereist de PIPL expliciet dat aan één van vier wettelijke voorwaarden wordt voldaan (certificering, standaardcontract, veiligheidsbeoordeling of een andere bij wet voorziene procedure). Daarbovenop komt dat artikel 39 van de PIPL afzonderlijke toestemming eist.
GDPR-toestemming volstaat niet: PIPL vereist extra afzonderlijke toestemming
De mate van toestemming die de PIPL vereist, is vergelijkbaar met de GDPR (specifiek, ondubbelzinnig, geïnformeerd en vrij gegeven), maar in de context van internationale doorgifte gaat de PIPL verder. Bedrijven moeten een bijkomende, afzonderlijke toestemming verkrijgen specifiek voor de internationale doorgifte. Deze mag niet worden opgenomen in een algemene privacyverklaring.
GDPR-compliant zijn betekent dus niet automatisch dat men in orde is met de Chinese verplichtingen.
Elke overdracht vereist specifieke en afzonderlijke toestemming
Elke overdracht van persoonsgegevens van individuen in het Chinese vasteland naar het buitenland vereist een specifieke toestemming. Indien bedrijven niet voldoen aan artikelen 13 en 39 van de PIPL bij het uitvoeren van zulke transfers, kunnen ze blootgesteld worden aan aanzienlijke aansprakelijkheid.
De rechtbank maakt ook duidelijk dat een breed gebruik van persoonsgegevens, bijvoorbeeld voor marketingdoeleinden, niet onder de uitzonderingen valt zoals voorzien in artikel 13, tenzij dit rechtstreeks verband houdt met het leveren van die marketingdiensten. Enkel overdrachten die strikt noodzakelijk zijn voor het uitvoeren van het contract, kunnen zonder toestemming.
Wat moet je hier als ondernemer mee doen?
Deze uitspraak toont aan dat ook Belgische bedrijven hun privacystrategie moeten afstemmen op de PIPL wanneer ze actief zijn richting China. En dat hoeft niet eens via een fysieke vestiging. Een digitale aanwezigheid, een app in de Chinese app store, een e-commercekanaal met verzendoptie naar China: het volstaat om onder het toepassingsgebied van de wet te vallen.
Wat betekent dat concreet?
Zorg voor een gescheiden toestemmingsmechanisme bij doorgifte van persoonsgegevens van Chinese klanten naar het buitenland.
Herbekijk je privacyverklaring: zijn buitenlandse ontvangers duidelijk geïdentificeerd, met doel en rechtsgrond?
Onderzoek of je aan één van de vier mechanismen van artikel 38 PIPL voldoet voor internationale overdracht.
Beschouw China niet als een grijs gebied, maar als een apart regelgevend landschap waarin je proactief moet handelen.
Conclusie: China neemt privacy ernstig. Jij dus ook.
De uitspraak van de Guangzhou Internet Court is geen curiositeit. Ze is een wake-upcall. Wie denkt dat privacywetgeving enkel een Europese aangelegenheid is, of dat China laks zou omgaan met gegevensbescherming, vergist zich. In China staat data in dienst van het nationale belang. En dat nationale belang wordt afgedwongen.
Bij consey(.legal) helpen we ondernemers om hun activiteiten internationaal compliant te maken, met respect voor lokale wetgeving. Actief op de Chinese markt, of overweeg je dat? We brengen je risico’s in kaart, zorgen voor correcte documentatie, en begeleiden je bij het opzetten van een conforme strategie.
Weten of jij ook onder de PIPL valt? Neem contact op via hallo@consey.legal. We denken graag met je mee.
Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)
