Regulacje cyfrowe w Chinach w 2026 roku: zmiany w cyberbezpieczeństwie, ochronie danych i AI

W 2026 roku Chiny przeżywają prawdziwą rewolucję regulacyjną w obszarze cyfrowym. Od nowelizacji Ustawy o Cyberbezpieczeństwie (CSL), przez rozwój PIPL (Personal Information Protection Law), aż po pierwszy kompleksowy system przeglądu etycznego AI. Chiński krajobraz prawny staje się coraz bardziej złożony i wymagający dla firm działających na tym rynku. W tym artykule analizujemy najważniejsze zmiany, ich praktyczne konsekwencje oraz różnice między chińskim a europejskim podejściem do regulacji cyfrowych.

1. Cyberbezpieczeństwo w Chinach: nowelizacja CSL 2026

1.1. Największa zmiana od 2017 roku

1 stycznia 2026 roku weszła w życie pierwsza nowelizacja chińskiej Ustawy o Cyberbezpieczeństwie (网络安全法). To pierwsza fundamentalna aktualizacja tego aktu od momentu jego wejścia w życie w czerwcu 2017 roku. Nowelizacja, zatwierdzona w październiku 2025 roku przez Stały Komitet Ogólnochińskiego Zgromadzenia Przedstawicieli Ludowych, wprowadza trzy kluczowe zmiany, które bezpośrednio wpływają na wszystkie podmioty działające w Chinach lub z chińskimi partnerami.

1.2. Rozszerzona jurysdykcja eksterytorialna (art. 77 CSL)

Przed nowelizacją CSL ograniczała się do ataków na chińską infrastrukturę krytyczną (CII). Po zmianach zasięg przepisów rozszerzono na wszystkie „działania zagranicznych podmiotów zagrażające bezpieczeństwu chińskich sieci cybernetycznych„. Oznacza to, że nawet firmy z siedzibą poza Chinami mogą podlegać sankcjom – w tym zamrożeniu aktywów – jeśli ich działalność zostanie uznana za zagrożenie dla chińskiego cyberbezpieczeństwa. Ta zmiana ma szczególne znaczenie dla operatorów międzynarodowych, w tym armatorów statków, których komunikacja pokładowa może podlegać chińskiej jurysdykcji.

1.3. System kar warstwowych

Nowelizacja chińskiej Ustawy o Cyberbezpieczeństwie kładzie kres prawnym niedomówieniom, wprowadzając precyzyjny taryfikator kar. Nowy system bezpośrednio uzależnia dotkliwość sankcji od realnych skutków incydentu. Co ważne dla biznesu, odpowiedzialność finansowa rośnie tu skokowo, a konsekwencje uderzają nie tylko w budżety korporacji, ale również bezpośrednio w kieszenie kadry zarządzającej.

W nowej rzeczywistości prawnej stopnie finansowego ryzyka dzielą się na trzy poziomy.

Podstawowe naruszenie, czyli błąd bez udowadniania szkody

Za podstawowe naruszenie przepisów grozi grzywna od 50 000 do 500 000 RMB (Renminbi, czyli w przeliczeniu na Euro od ok. 6 tysięcy EUR do ponad 64 tysięcy EUR, a w przeliczeniu na złotówki od ok. 27 tysięcy PLN do ponad 270 tysięcy PLN). Co najistotniejsze z perspektywy organów kontrolnych, kara ta może zostać nałożona bez konieczności udowadniania, że incydent wywołał jakiekolwiek realne straty.

Okoliczności zaostrzone

Gra zaczyna się toczyć o znacznie wyższą stawkę, gdy dochodzi do incydentów o większym kalibrze. Nowe przepisy precyzyjnie definiują te sytuacje, wskazując m.in. na „wyciek masowych danych” czy „częściową dysfunkcję infrastruktury krytycznej”. W takich przypadkach firmie grozi kara od 500 000 do 2 000 000 RMB (czyli w przeliczeniu na Euro od ok. 64 tysięcy EUR do prawie 260 tysięcy EUR, a w przeliczeniu na złotówki: od ponad 270 tysięcy PLN do ok. 1,1 mln PLN). To jednak nie wszystko – nowelizacja personalizuje odpowiedzialność, nakładając na osobę decyzyjną osobistą karę w wysokości od 50 000 do 200 000 RMB.

Scenariusz maksymalny

Na szczycie tej piramidy sankcji znajdują się przypadki zakwalifikowane jako „szczególnie poważne konsekwencje”. Tutaj finansowe konsekwencje kształtują się w przedziale od 2 000 000 do aż 10 000 000 RMB (czyli od ponad 250 tysięcy EUR do ok. 1,29 mln EUR albo od ok. 1,1 mln PLN do ponad 5,48 mln PLN). Równolegle drastycznie rośnie presja na kadrę kierowniczą – osoba odpowiedzialna za rażące zaniedbania musi liczyć się z osobistą grzywną sięgającą nawet 1 000 000 RMB.

1.4. Ulgi w karach

Nowelizacja nie jest wyłącznie represyjna. Wprowadza również mechanizmy złagodzenia lub umorzenia kar, zgodnie z Prawem o Karach Administracyjnych. Chiński Urząd ds. Cyberprzestrzeni (CAC) może złagodzić karę, gdy naruszający dobrowolnie eliminuje lub zmniejsza szkodliwe skutki naruszenia, działał pod przymusem lub namową,  dobrowolnie ujawnia naruszenie nieznane regulatorom oraz współpracuje z organami ścigania. W przypadku pierwszego naruszenia o niewielkich skutkach, które zostało niezwłocznie naprawione, kara może zostać nawet całkowicie umorzona.

1.5. Nowe obowiązki dla operatorów infrastruktury krytycznej (CII)

Nowelizacja przepisów stawia w stan najwyższej gotowości przede wszystkim operatorów infrastruktury krytycznej. Czyli podmioty odpowiedzialne za strategiczne sektory, takie jak energetyka, transport, gospodarka wodna, finanse oraz usługi publiczne. Dla tych filarów funkcjonowania państwa Pekin przygotował pakiet zobowiązań, które podnoszą poprzeczkę w codziennej działalności operacyjnej.

Przede wszystkim zakup jakichkolwiek produktów lub usług sieciowych przez te podmioty transakcja musi zostać teraz poprzedzony wzmocnioną oceną bezpieczeństwa. Równolegle państwo uszczelnia system kontroli samych użytkowników, wprowadzając dla najważniejszych usług sieciowych bezwzględny obowiązek autentykacji opartej na prawdziwym nazwisku (real-name authentication), co w praktyce eliminuje anonimowość.

Największy nacisk położono jednak na transparentność danych. Operatorzy zostali obarczeni znacznie szerszymi niż dotychczas obowiązkami natychmiastowego zgłaszania wszelkich incydentów bezpieczeństwa organom regulacyjnym. Ponadto nowela sankcjonuje zasadę lokalizacji danych: wszelkie informacje wygenerowane na terenie Chin muszą fizycznie pozostać w kraju. Transfer transgraniczny jest możliwy tylko w drodze wyjątku – po przejściu skomplikowanej procedury urzędowej, zwieńczonej oficjalnym zatwierdzeniem przez regulatora.

2. Ochrona danych osobowych w Chinach: ewolucja PIPL

2.1. PIPL jako „chińskie RODO”

Personal Information Protection Law (PIPL, 个人信息保护法) wszedł w życie 1 listopada 2021 roku. Jest to pierwszy kompleksowy akt prawny na poziomie krajowym regulującym ochronę danych osobowych w Chinach. Choć często jest porównywany do europejskiego RODO, PIPL ma ważne różnice, które każda firma musi znać.

2.2. Największe podobieństwa i różnice między PIPL a RODO

Chińska Ustawa o Ochronie Danych Osobowych (PIPL) w wielu miejscach przypomina europejskie RODO, co ułatwia zrozumienie jej założeń podmiotom działającym na rynku międzynarodowym. Obie regulacje opierają się na podobnej definicji danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Podobnie jak w Europie, w Chinach standardem jest obowiązek uzyskania zgody na przetwarzanie, a obywatelom przyznano zbliżony pakiet uprawnień: prawo do wglądu w dane, ich poprawiania, usuwania oraz przenoszenia.

Zbliżone są także mechanizmy kontroli i sankcje. Podmioty przetwarzające dane ponad miliona osób mają obowiązek powołania odpowiednika Inspektora Ochrony Danych (PIPO), a za poważne naruszenia grożą wysokie kary finansowe – do 50 milionów RMB lub 5% rocznego obrotu.

Mimo tak wyraźnych podobieństw, istnieje kilka podstawowych różnic, które decydują o odrębności chińskiego systemu.

Brak konstrukcji „prawnie uzasadnionego interesu”

W przeciwieństwie do RODO, gdzie jest to jedna z najważniejszych i najczęściej stosowanych podstaw przetwarzania danych, PIPL nie przewiduje takiego rozwiązania. W chińskim porządku prawnym świadoma zgoda użytkownika pozostaje podstawowym, a często jedynym uzasadnieniem dla operacji na danych.

Wymiar bezpieczeństwa narodowego

Chińskie przepisy wprost łączą ochronę danych z interesem państwa. PIPL zawiera mechanizmy pozwalające na tworzenie tzw. czarnej listy podmiotów zagranicznych. Firmy, które na nią trafią, ze względów bezpieczeństwa mogą otrzymać całkowity zakaz dostępu do danych osobowych obywateli Chin.

Ochrona danych osób zmarłych

To istotne odstępstwo od standardów europejskich, gdzie prawa ochronne wygasają wraz ze śmiercią człowieka. W Chinach bliscy krewni mogą wykonywać prawa do danych osoby zmarłej w ramach własnych, uzasadnionych i zgodnych z prawem interesów.

Wyższa granica wieku dla dzieci

PIPL podchodzi bardziej restrykcyjnie do ochrony najmłodszych. Zgoda rodziców na przetwarzanie danych ich dzieci jest wymagana w przypadku wszystkich dzieci poniżej 14 roku życia (dla porównania, w RODO ogólną granicą jest 16 lat, z możliwością obniżenia przez poszczególne państwa do 13 lat).

Szczególne restrykcje dla sektora publicznego

Krajowe organy publiczne zostały objęte bezwzględną zasadą lokalizacji. Wszystkie gromadzone przez nie dane osobowe muszą być przechowywane wyłącznie na terytorium Chin.

2.3. Nowy standard GB/T 45574-2025 – dane wrażliwe

Od 1 listopada 2025 roku w Chinach obowiązuje krajowy standard GB/T 45574-2025, który wprowadza istotne zmiany w sposobie identyfikacji danych wrażliwych. Zamiast dotychczasowego, sztywnego katalogu informacji, nowe przepisy nakładają na firmy obowiązek każdorazowej analizy kontekstu przetwarzania oraz oceny, jaki wpływ mają te działania na prywatność i bezpieczeństwo konkretnej osoby.

Zgodnie z nowymi wytycznymi, do kategorii danych wrażliwych zalicza się przede wszystkim:

• dane biometryczne, w tym systemy rozpoznawania twarzy,
• informacje o kontach finansowych,
• dokładne dane lokalizacyjne,
• informacje o stanie zdrowia,
• dane osobowe nieletnich poniżej 14 roku życia.

Przetwarzanie tego typu informacji wiąże się z dodatkowymi obowiązkami formalnymi. Przedsiębiorstwa muszą uzyskać od użytkownika osobną, wyraźną zgodę, a także szczegółowo poinformować go o celu operacji oraz jej wpływie na jego prawa.

Dodatkowo, przed rozpoczęciem jakichkolwiek działań na danych wrażliwych, organizacje mają obowiązek przeprowadzenia oceny skutków dla ochrony danych (PIPIA – Personal Information Protection Impact Assessment). Zgromadzona w ten sposób dokumentacja musi być przechowywana na wypadek kontroli przez okres co najmniej 3 lat.

2.4. Transfer danych za granicę i nowe ramy raportowania incydentów

Chiński system regulujący przesyłanie danych osobowych poza granice kraju opiera się na trzech odrębnych ścieżkach prawnych. Zostały one dostosowane do skali działalności przedsiębiorstwa oraz rodzaju przetwarzanych informacji.

• Ocena Bezpieczeństwa (Security Assessment). Ta procedura dotyczy podmiotów operujących na dużą skalę. Jest obowiązkowa w sytuacjach, gdy firma przetwarza dane ponad miliona osób lub gdy przedmiotem transferu są informacje sklasyfikowane przez państwo jako „ważne dane”.
• Umowa Standardowa (Standard Contract). To rozwiązanie przewidziane dla mniejszych organizacji. Pozwala na transfer danych na podstawie jednolitego szablonu umowy, który został zatwierdzony przez regulatora CAC.
• Certyfikacja (Certification). Możliwość ta funkcjonuje od początku 2026 roku i stanowi ułatwienie dla międzynarodowych grup kapitałowych. Pozwala na uzyskanie formalnego certyfikatu od uprawnionego organu, co upraszcza procedury przepływu informacji wewnątrz struktur korporacyjnych.

Równolegle z porządkowaniem zasad transferu, uszczelnione zostały przepisy dotyczące reagowania na sytuacje kryzysowe (Measures for the Administration of the Reporting of Cybersecurity Incidents). Przepisy te nakładają na firmy obowiązek informowania organów regulacyjnych o naruszeniach bezpieczeństwa w ściśle określonym, krótkim czasie.

Dla większości podmiotów podstawowy termin na zgłoszenie incydentu wynosi 4 godziny. W przypadku operatorów infrastruktury krytycznej (CII) wymagania są wyższe – w ich scenariuszu czas ten wynosi jedną godzinę. Przepisy wprost definiują również wagę poszczególnych zdarzeń: wyciek obejmujący ponad milion rekordów danych osobowych jest automatycznie klasyfikowany jako incydent o znacznym stopniu poważania (relatively major).

2.5. Kampania egzekucyjna 2026

W kwietniu 2026 roku chińskie instytucje regulacyjne – na czele z CAC, Ministerstwem Przemysłu i Technologii Informacyjnych (MIIT) oraz Ministerstwem Bezpieczeństwa Publicznego (MPS) – rozpoczęły skoordynowaną kampanię mającą na celu wyegzekwowanie przepisów o ochronie danych osobowych. Działania te szybko przełożyły się na konkretne decyzje na szczeblu lokalnym oraz ważne rozstrzygnięcia prawne.

Przebieg tej fali kontrolnej wyznaczają trzy główne obszary.

• Usuwanie niezgodnych aplikacji. W najważniejszych ośrodkach gospodarczych kraju, takich jak Pekin, Szanghaj, Zhejiang, Jiangsu, Chongqing oraz Syczuan, lokalne urzędy rozpoczęły aktywne wycofywanie z rynku aplikacji mobilnych, które naruszały zasady prywatności użytkowników.
• Uproszczenia dla mniejszego biznesu. Równolegle z działaniami restrykcyjnymi regulator dba o zrównoważenie obowiązków administracyjnych. CAC opublikował projekt nowych przepisów, które upraszczają procedury dla małych administratorów danych, ułatwiając mniejszym firmom sprawne dostosowanie się do wymogów prawa.
• Jednoznaczne stanowisko sądów. Istotnym sygnałem interpretacyjnym dla rynku stał się wyrok Sądu Internetowego w Pekinie. Organ ten orzekł, że przekazywanie danych osobowych podmiotom trzecim bez uzyskania osobnej, wyraźnej zgody użytkownika stanowi bezpośrednie naruszenie ustawy PIPL.

To orzeczenie ostatecznie potwierdza, że praktyka dzielenia się informacjami w ramach partnerstw biznesowych czy sieci reklamowych bez wiedzy konsumenta nie będzie w Chinach tolerowana.

3. Sztuczna inteligencja w Chinach

3.1. Brak jednej ustawy – 5 filarów regulacji

Podczas gdy Unia Europejska zdecydowała się na stworzenie jednego, kompleksowego aktu prawnego (AI Act), Chiny przyjęły odmienną strategię. Pekin stawia na podejście wertykalne, co oznacza regulowanie konkretnych zastosowań i algorytmów za pomocą rozproszonych, wyspecjalizowanych aktów prawnych oraz administracyjnych. Cały ten system opiera się na pięciu podstawowych filarach.

Filar 1: Polityki i strategie państwowe

Kierunek rozwoju wyznaczają oficjalne plany rządowe, które określają cele strategiczne kraju. Pierwszym systemowym dokumentem o takim charakterze był „Plan rozwoju sztucznej inteligencji nowej generacji” z 2017 roku. Dokument ten uzupełniają oficjalne wytyczne Rady Państwa, nakierowane na wzmocnienie nadzoru etycznego w obszarze nauki i nowych technologii, np. „Opinie w sprawie wzmocnienia zarządzania etycznego w nauce i technologiach”.

Filar 2: Ogólne przepisy prawa

Regulacje dedykowane sztucznej inteligencji nie funkcjonują w próżni – ich bazę stanowią trzy podstawowe ustawy. PIPL chroni dane osobowe wykorzystywane do trenowania i działania algorytmów, Ustawa o Bezpieczeństwie Danych (DSL) dba o ochronę samych zbiorów danych, a Ustawa o Cyberbezpieczeństwie (CSL) zabezpiecza infrastrukturę sieciową, na której opierają się systemy AI.

Filar 3: Przepisy administracyjne i sektorowe

To tutaj znajdują się narzędzia wymierzone w konkretne technologie i ich twórców. Przykładem są „Tymczasowe zasady zarządzania usługami generatywnej AI” (AIGC Measures), które kontrolują treści tworzone przez modele językowe czy generatory grafik. Osobne, szczegółowe przepisy dotyczą systemów rekomendacyjnych oraz technologii tzw. głębokiej syntezy treści (deep synthesis), czyli m.in. narzędzi do tworzenia materiałów typu deepfake.

Filar 4: Przepisy miejskie i regionalne

Chińskie metropolie mają dużą autonomię w tworzeniu lokalnego prawa rynkowego. Najważniejsze ośrodki technologiczne, takie jak Szanghaj czy Shenzhen, wdrażają własne regulacje. Ich zadaniem jest z jednej strony promowanie innowacji, a z drugiej – umożliwienie lokalnym organom szczegółowej kontroli nad produktami AI o wyższym poziomie ryzyka.

Filar 5: Standardy krajowe i techniczne

Ostatnim elementem systemu są precyzyjne wytyczne inżynieryjne. Chiński Instytut Normalizacyjny Elektroniki systematycznie opracowuje serie norm dla systemów sztucznej inteligencji. Zgodnie z przyjętym harmonogramem, do końca 2026 roku planowane jest sfinalizowanie prac nad ponad 50 nowymi standardami krajowymi i branżowymi, które określą jednolite wymagania techniczne dla całego rynku.

3.2. Reguły gry dla generatywnej AI – zasady ukryte w „AIGC Measures”

Dokument zatytułowany „Tymczasowe zasady zarządzania usługami generatywnej sztucznej inteligencji”, opracowany przez CAC we współpracy z sześcioma innymi agencjami rządowymi, wszedł w życie 15 sierpnia 2023 roku. Do dziś pozostaje on najważniejszym aktem prawnym regulującym działalność systemów tworzących treści na terenie Chin. Przepisy te precyzyjnie definiują obowiązki dostawców technologii oraz wyznaczają wyraźne granice dla komercyjnego wykorzystania algorytmów.

Wśród podstawowych wymagań stawianych przed twórcami usług typu AIGC (Generative AI) znalazły się:

• legalność danych treningowych – dostawcy systemów muszą zapewnić i wykazać, że źródła informacji wykorzystywanych do szkolenia modeli są w pełni legalne;
• ochrona prywatności na etapie szkolenia – jeżeli w zbiorach treningowych znajdują się dane osobowe, ich użycie wymaga wcześniejszego uzyskania zgody od osób, których te informacje dotyczą;
• respektowanie praw użytkowników – systemy sztucznej inteligencji muszą być zaprojektowane w taki sposób, aby od początku umożliwiały realizację praw wynikających z ustawy PIPL – w tym wglądu w dane, ich poprawiania czy usuwania;
• wbudowane mechanizmy ochronne – na dostawców nałożono obowiązek wdrożenia rozwiązań technicznych, które skutecznie zapobiegają wyciekom informacji i chronią prywatność użytkowników.

Równie konkretnie sformułowano katalog działań zabronionych. Chińskie prawo w tym obszarze jednoznacznie wyklucza:

• generowanie treści szkodliwych – algorytmy nie mogą tworzyć materiałów naruszających prawa osób trzecich ani zagrażających bezpieczeństwu narodowemu;
• praktyki monopolistyczne – niedozwolone jest wykorzystywanie technologii AI do prowadzenia nieuczciwej konkurencji lub budowania pozycji monopolisty na rynku;
• dyskryminację algorytmiczną – przepisy zabraniają nieuzasadnionego różnicowania traktowania klientów w obrocie handlowym. W praktyce eliminuje to m.in. zjawisko dyskryminacji cenowej, czyli automatycznego podwyższania cen usług lub produktów przez AI dla wybranych profili użytkowników.

3.3. Automatyczne podejmowanie decyzji (art. 24 PIPL)

Artykuł 24 ustawy PIPL stanowi podstawowe narzędzie regulacji sztucznej inteligencji w Chinach. Przepis ten koncentruje się na procesach automatycznego podejmowania decyzji i nakłada na administratorów systemów wymagania mające chronić użytkowników przed samowolą algorytmów.

Zgodnie z tą regulacją, każdy proces oparty na automatycznej analizie danych musi spełniać określone kryteria.

• Przejrzystość. Sam algorytm oraz sposób podejmowania przez niego decyzji nie mogą pozostać sekretem firmy – wymagana jest pełna transparentność działania systemu.
• Obiektywizm. Wyniki generowane przez systemy informatyczne muszą być sprawiedliwe i bezstronne, co ma zapobiegać powielaniu uprzedzeń przez technologię.
• Prawo do wyjaśnienia. Użytkownik, wobec którego podjęto automatyczną decyzję, ma prawo żądać szczegółowego wyjaśnienia motywów, jakimi kierował się system.
• Odmowa automatyzacji. Konsumenci zyskują prawo do odrzucenia rozstrzygnięcia, jeżeli zostało ono podjęte wyłącznie w sposób automatyczny, bez jakiegokolwiek udziału człowieka.

Ważnym elementem tego artykułu jest również jednoznaczny zakaz nieuzasadnionego różnicowania warunków transakcji. Przepis ten uderza bezpośrednio w praktykę znaną jako „dyskryminacja cenowa big data” (big data price discrimination), stosowaną powszechnie przez platformy e-commerce. W praktyce oznacza to, że sklepy internetowe i serwisy usługowe nie mogą bez obiektywnego powodu oferować tego samego produktu w różnych cenach różnym użytkownikom, bazując jedynie na algorytmicznej ocenie ich profilu czy historii zakupowej.

3.4. AI w sektorze publicznym

Aktywne wdrażanie sztucznej inteligencji w chińskim sektorze publicznym od lat budzi duże zainteresowanie i dyskusje na arenie międzynarodowej. Pekin nie traktuje algorytmów jedynie jako domeny prywatnego biznesu, lecz jako narzędzie usprawniające zarządzanie państwem i społeczeństwem na wielu poziomach.

Praktyczne zastosowanie tych technologii obejmuje dziś obszary, które w innych częściach świata podlegają ścisłym ograniczeniom. W przestrzeni miejskiej powszechne są zaawansowane systemy rozpoznawania twarzy, których działanie regulują przepisy ustaw PIPL i CSL. Nowe technologie wspierają również tamtejszy wymiar sprawiedliwości, gdzie algorytmy pomagają sędziom w analizie dokumentacji procesowej oraz wyszukiwaniu odpowiednich precedensów. W oświacie z kolei systemy AI są wykorzystywane do automatycznej oceny prac uczniów oraz monitorowania ich zachowania podczas zajęć. Odrębną gałąź stanowi system oceny obywateli, czyli scoring społeczny (social credit system). W chińskim porządku prawnym pozostaje on w pełni legalnym instrumentem administracyjnym.

Najważniejsza różnica w stosunku do standardów europejskich dotyczy podejścia do obecności technologii w życiu codziennym. Podczas gdy unijny AI Act w większości przypadków uznaje stosowanie systemów identyfikacji biometrycznej w przestrzeni publicznej za praktyki zakazane, w Chinach rozwiązania te są w pełni legalne i stanowią stały element infrastruktury państwowej.

4. Etyczna AI w Chinach: od dobrowolnych wytycznych do obowiązkowych przepisów

4.1. Nowy etap kontroli: System oceny etycznej sztucznej inteligencji

3 kwietnia 2026 roku Ministerstwo Nauki i Technologii (MOST) oraz Ministerstwo Przemysłu i Technologii Informacyjnych (MIIT), działając w porozumieniu z ośmioma innymi departamentami rządowymi, opublikowały nowe wytyczne regulacyjne: „Tymczasowe zasady zarządzania przeglądem etycznym i usługami w zakresie technologii sztucznej inteligencji” (Measures for the Administration of AI Technology Ethics Review and Services (Trial)).

Dokument ten wprowadza pierwszy w Chinach dedykowany system oceny etycznej dla rozwiązań opartych na sztucznej inteligencji. Zamiast ogólnych deklaracji, administracja państwowa tworzy w ten sposób formalne ramy nadzoru. Ich celem jest zapewnienie, że nowe technologie będą rozwijane i wdrażane w sposób zgodny z przyjętymi normami społecznymi oraz prawnymi, zanim jeszcze trafią do powszechnego użytku.

4.2. Szeroki zasięg nowych przepisów – kto i co podlega ocenie etycznej?

Nowo wprowadzone regulacje mają szeroki zasięg i obejmują wszelkie działania związane ze sztuczną inteligencją prowadzone na terytorium Chin, o ile mogą one nieść ze sobą wyzwania natury etycznej. Nadzorowi podlegać będą przede wszystkim projekty mające wpływ na:

• godność ludzką oraz porządek publiczny,
• życie i zdrowie obywateli,
• środowisko naturalne oraz zrównoważony rozwój.

Przepisy nie ograniczają się jedynie do świata technologii i biznesu. Obowiązkiem przeprowadzania ocen etycznych został objęty szeroki krąg podmiotów. Nowym procedurom prawnym muszą podporządkować się zarówno przedsiębiorstwa, jak i uczelnie wyższe, instytuty badawcze oraz placówki ochrony zdrowia, które w swojej działalności rozwijają lub wykorzystują systemy sztucznej inteligencji.

4.3. Trzystopniowa struktura – mechanizm oceny etycznej sztucznej inteligencji

Nowy system kontroli etycznej w Chinach opiera się na przejrzystej, trzystopniowej strukturze nadzoru. Odpowiedzialność za weryfikację projektów rozłożono pomiędzy same organizacje, wyspecjalizowane podmioty zewnętrzne oraz administrację państwową. Taki podział pozwala na elastyczne dopasowanie procedur do skali oraz specyfiki danego rozwiązania technologicznego.

Proces weryfikacji realizowany jest na następujących poziomach:

• Poziom 1: Wewnętrzne komitety etyczne. Każda jednostka prowadząca działalność w obszarze sztucznej inteligencji ma obowiązek powołania własnego, wewnętrznego komitetu etycznego. Taki zespół musi składać się z co najmniej pięciu ekspertów reprezentujących różne specjalizacje: technologię AI, jej praktyczne zastosowania, a także etykę i prawo. Komitet odpowiada za wstępną ocenę projektów i bieżące monitorowanie prac wewnątrz organizacji.
• Poziom 2: Zewnętrzne centra usługowe. Ustawodawca przewidział rozwiązanie dla podmiotów, które nie dysponują odpowiednim zapleczem merytorycznym lub kadrowym do samodzielnego prowadzenia takich analiz. Mogą one powierzyć przeprowadzenie oceny uprawnionym jednostkom zewnętrznym. Centra te działają jako certyfikowani partnerzy, realizujący przeglądy na zlecenie i pomagający firmom w spełnieniu wymogów prawa.
• Poziom 3: Rządowy przegląd ekspercki. Najwyższy stopień kontroli został zarezerwowany dla technologii o wysokim poziomie ryzyka. Chodzi o systemy, które mogą bezpośrednio kształtować opinię publiczną, wpływać na zachowania psychologiczne użytkowników lub opierają się na zaawansowanym, całkowicie automatycznym podejmowaniu decyzji. W takich przypadkach weryfikację przeprowadza specjalny panel ekspertów organizowany przez organy rządowe. Na wydanie oficjalnego rozstrzygnięcia urzędnicy mają 30 dni od momentu formalnego przyjęcia wniosku.

4.4. Kryteria oceny – co badają chińscy audytorzy AI?

Procedura przeglądu etycznego nie ma charakteru wyłącznie formalnego – to szczegółowa weryfikacja technologii oparta na siedmiu podstawowych zasadach. Projektowany system sztucznej inteligencji musi:

1. dbać o dobrostan człowieka (zasada human well-being),
2. szanować życie i ludzkie prawa,
3. gwarantować sprawiedliwość i bezstronność (zapobiegać stronniczości – bias – i dyskryminacji),
4. zapewniać racjonalną kontrolę ryzyka,
5. gwarantować otwartość i przejrzystość,
6. zapewniać ochronę prywatności i bezpieczeństwa,
7. być sterowalny (możliwy do kontrolowania) i wiarygodny (godny zaufania) – (zasada controllability and trustworthiness).

W praktyce deklaracje twórców są konfrontowane z architekturą oprogramowania. Podczas audytu eksperci szczegółowo analizują następujące elementy:

• kryteria doboru danych treningowych – weryfikowane są źródła informacji, ich reprezentatywność, legalność pozyskania oraz potencjał do powielania błędów i społecznych uprzedzeń;
• architektura systemu – ocenia się racjonalność samego algorytmu, strukturę modelu oraz ogólny projekt techniczny pod kątem celów, jakim ma służyć;
• ochrona przed dyskryminacją – sprawdzane są wdrożone zabezpieczenia, które mają zapobiegać stronniczości (bias) oraz wykorzystywaniu przewagi algorytmicznej na rynku;
• nadzór człowieka – architektura systemu musi zapewniać realną możliwość interwencji ludzkiej i przejęcia kontroli nad działaniem aplikacji w razie potrzeby;
• transparentność operacyjna – twórcy muszą wykazać pełną jasność co do celów projektu, logiki stojącej za podejmowanymi przez algorytm decyzjami oraz potencjalnych ryzyk wiążących się z jego eksploatacją.

4.5. Pod stałą kontrolą – zasady ciągłego nadzoru etycznego

Uzyskanie pozytywnej oceny etycznej nie oznacza końca zainteresowania ze strony organów regulacyjnych. Chiński system wprowadza mechanizm stałego nadzoru, co oznacza, że zatwierdzone projekty podlegają systematycznym weryfikacjom w trakcie całego okresu ich funkcjonowania.

Częstotliwość kolejnych audytów zależy bezpośrednio od stopnia zaawansowania i specyfiki danej technologii. W standardowych projektach przegląd kontrolny odbywa się cyklicznie, co 12 miesięcy. Projekty z listy eksperckiej, z uwagi na wyższy poziom ryzyka, podlegają częstszej weryfikacji, która jest przeprowadzana co 6 miesięcy. Natomiast jeżeli w działaniu systemu dojdzie do istotnych zmian, które wpływają na jego aspekty etyczne, wymagane jest ponowne przejście pełnej procedury oceny.

Odrębne zasady dotyczą sytuacji nadzwyczajnych, związanych bezpośrednio z ochroną zdrowia publicznego lub bezpieczeństwa. W takich kryzysowych okolicznościach uruchamiana jest szybka ścieżka proceduralna, która nakłada obowiązek przeprowadzenia przeglądu w czasie nieprzekraczającym 72 godzin.

4.6. Koszty błędu – jak Chiny egzekwują nowe przepisy?

Naruszenie zasad dotyczących oceny etycznej sztucznej inteligencji niesie ze sobą konsekwencje. Choć same wytyczne nie tworzą nowego, odrębnego taryfikatora kar, to chiński ustawodawca zintegrował system kontroli z istniejącymi już, nadrzędnymi aktami prawnymi.

Oznacza to, że podmioty, które nie dopełniają obowiązku audytu lub wdrażają systemy niezgodne z normami, podlegają odpowiedzialności na podstawie czterech najważniejszych ustaw regulujących tamtejszy rynek technologiczny i naukowy.

• Ustawa o Cyberbezpieczeństwie (CSL). Stosowana w sytuacjach, gdy nieprawidłowości dotyczą bezpieczeństwa samej infrastruktury sieciowej, na której operuje dane rozwiązanie AI.
• Ustawa o Bezpieczeństwie Danych (DSL). Działa, jeśli uchybienia są bezpośrednio związane z zarządzaniem zbiorami danych lub ich niedostateczną ochroną.
• Ustawa o Ochronie Danych Osobowych (PIPL). Ma zastosowanie, gdy system AI narusza prywatność użytkowników, powiela uprzedzenia lub przetwarza ich informacje bez wymaganej zgody.
• Ustawa o Postępie Naukowo-Technicznym (Science and Technology Progress Law). Reguluje ogólne standardy prowadzenia prac badawczo-rozwojowych oraz określa zasady odpowiedzialności instytucjonalnej za naruszenie etyki naukowej.

Dzięki takiemu rozwiązaniu organy nadzorcze mogą stosować sprawdzony i szeroki katalog sankcji. W zależności od charakteru przewinienia, firmom i instytucjom grożą kary administracyjne – od nakazu wstrzymania prac nad projektem i zablokowania usług, aż po wysokie grzywny finansowe przewidziane w podstawowych ustawach cyfrowych.

4.7. Dwie filozofie: chiński model etyki AI na tle rozwiązań zachodnich

Wszystkie najważniejsze potęgi gospodarcze – od Stanów Zjednoczonych i Unii Europejskiej po Azję – zgodnie wdrażają sztywne ramy prawne dla rynku sztucznej inteligencji. Odmienność kryje się w filozofii oraz celach, jakie stawiają sobie ustawodawcy. Europa projektuje swoje prawo z myślą o ochronie praw jednostki i prywatności obywatela. Chiny natomiast podporządkowują technologię celom państwowym: utrzymaniu stabilności społecznej oraz kontrolowanemu stymulowaniu gospodarki.

Poniższe zestawienie przedstawia najważniejsze różnice w podejściu do zarządzania algorytmami:

Aspekt	Europa (AI Act)	Chiny (System wieloaktowy)
Główny priorytet	Prawa jednostki, autonomia człowieka, ochrona konsumenta	Stabilność społeczna, bezpieczeństwo państwa, rozwój gospodarczy
Model podejścia	Horyzontalny – jedna kompleksowa ustawa dla całego rynku	Wertykalny – wiele rozproszonych aktów dla konkretnych technologii
Biometria w przestrzeni publicznej	Ograniczona do wyjątkowych sytuacji przewidzianych bezpośrednio w przepisach	Legalna, powszechna i regulowana przez państwo
Forma nadzoru etycznego	Ocena zgodności (conformity assessment) przed wejściem na rynek	Wewnętrzne komitety organizacji oraz rządowe panele eksperckie
Maksymalne kary	Do 35 mln EUR (ok. 149 mln PLN) lub do 7% globalnego rocznego obrotu	Do 50 mln RMB (ok. 6,4 mln EUR / 27,4 mln PLN) lub do 5% rocznego obrotu
Podstawa operacji na danych	Szeroki katalog podstaw prawnych (np. uzasadniony interes)	Przede wszystkim wyraźna zgoda użytkownika

Najważniejszy wniosek płynący z analizy chińskich przepisów dotyczy momentu, w którym państwo decyduje się na interwencję. Tamtejszy system traktuje etykę sztucznej inteligencji jako warunek wstępny (gating requirement), a nie jako dobrowolną deklarację składaną już po wdrożeniu technologii.

Pomyślne przejście przeglądu etycznego stanowi obowiązkowy etap niezbędny do uzyskania zgody regulacyjnej na komercjalizację produktu. W praktyce wymusza to na projektantach tworzenie dokładnej ścieżki audytowej. I pozwala organom państwowym na egzekwowanie realnej odpowiedzialności na każdym etapie życia algorytmu.

5. Praktyczne wnioski dla firm

Obecne zmiany w chińskim prawie cyfrowym wymagają od firm rewizji dotychczasowych procedur. Przedsiębiorstwa prowadzące działalność na rynku chińskim lub współpracujące z tamtejszymi podmiotami stoją przed koniecznością wdrożenia nowych standardów zarządzania informacją i technologią. Skuteczne zabezpieczenie interesów organizacji wymaga skupienia się na trzech podstawowych obszarach.

5.1. Weryfikacja procedur, czyli audyt zgodności

Punktem wyjścia dla każdej organizacji powinien być szczegółowy przegląd struktur prawnych i technicznych. Działania te pozwalają zidentyfikować ewentualne luki w zabezpieczeniach i powinny obejmować:

• analizę zgodności z nowelizacją Ustawy o Cyberbezpieczeństwie (CSL), ze szczególnym uwzględnieniem przepisów o charakterze eksterytorialnym,
• dostosowanie operacji do wymogów ustawy PIPL, w tym do nowych wytycznych zawartych w standardzie krajowym GB/T 45574-2025,
• przegląd kanałów transferu danych, czyli weryfikację legalności i poprawności przesyłania informacji poza granice Chin,
• audyt systemów sztucznej inteligencji pod kątem założeń regulacji AIGC oraz wymagań artykułu 24 ustawy PIPL,
• przygotowanie struktur organizacyjnych do planowanego przejścia przez państwowy przegląd etyczny.

5.2. Dokumentacja pod lupą regulatora

Chińskie organy nadzorcze kładą coraz większy nacisk na formalną dokumentację, która stanowi dla audytorów dowód przestrzegania prawa. Przedsiębiorstwa muszą zadbać o rzetelne prowadzenie i archiwizację określonych zasobów. Do najważniejszych z nich należą oceny skutków dla ochrony danych (PIPIA), które należy przechowywać przez okres co najmniej 3 lat.

Konieczne jest również formalne zarejestrowanie Inspektora Ochrony Danych (PIPO) w systemie internetowym urzędu CAC. Bazę dowodów powinny uzupełniać pełne raporty z przeprowadzonych przeglądów etycznych sztucznej inteligencji oraz szczegółowe protokoły z wewnętrznych audytów zgodności.

5.3. Proaktywne podejście

Wdrożenie odpowiednich procedur przed nadejściem oficjalnej inspekcji urzędowej przynosi organizacjom wymierne korzyści operacyjne. Taka postawa stanowi bezpośrednią inwestycję w bezpieczeństwo prawne i techniczne podmiotu. Pozwala to na budowanie zaufania w relacjach z lokalnymi konsumentami oraz partnerami biznesowymi.

Przede wszystkim jednak, wcześniejsze uporządkowanie procesów skutecznie chroni budżet firmy przed wielomilionowymi grzywnami. Gwarantuje ponadto bezpieczną ciągłość operacyjną na wymagającym rynku chińskim.

Podsumowanie: chińska nowa era cyfrowej zgodności

Rok 2026 przynosi istotne zmiany w chińskim prawie cyfrowym. Nowelizacja ustawy CSL, rozwój PIPL, wdrożenie zasad AIGC oraz wprowadzenie systemu ocen etycznych dla sztucznej inteligencji tworzą złożony krajobraz regulacyjny. Przedsiębiorstwa, które potrafią sprawnie i z wyprzedzeniem dostosować swoje procesy do tych wymagań, zyskują przewagę konkurencyjną na jednym z najważniejszych rynków świata.

Warto pamiętać, że chińskie przepisy stanowią całkowicie autonomiczny system prawny o odrębnej specyfice, zupełnie odmienny od europejskiego RODO. Ochrona bezpieczeństwa narodowego, kontrola państwowa oraz rozwój gospodarczy są tam traktowane na równi z prawami jednostki. Skuteczne prowadzenie działalności w Chinach wymaga zatem zarówno znajomości poszczególnych artykułów, jak i pełnego zrozumienia filozofii tamtejszego prawodawstwa.

Profesjonalne wsparcie: Chinese Desk kancelarii LO:ME

Odpowiedzią na rosnące wyzwania regulacyjne jest wsparcie oferowane przez Kancelarię Radców Prawnych LO:ME. W ramach dedykowanej praktyki Chinese Desk, kancelaria zapewnia obsługę prawną podmiotów działających na styku rynków europejskiego i chińskiego.

• Dowiedz się więcej o Marcie Dargas-Draganik

Eksperci LO:ME łączą kompetencje z zakresu prawa nowych technologii, cyberbezpieczeństwa oraz sztucznej inteligencji z biegłą znajomością realiów gospodarczych i niuansów kulturowych Państwa Środka. W kontekście omawianych zmian, kancelaria oferuje usługi w pełni dopasowane do nowych obowiązków przedsiębiorstw:

• Audyty zgodności systemów informatycznych z chińskimi ustawami (w tym PIPL oraz znowelizowaną CSL),
• Weryfikację i mapowanie procedur bezpiecznego transferu danych poza granice Chin,
• Tworzenie i kompletowanie dokumentacji nadzorczej, w tym ocen skutków dla ochrony danych (PIPIA),
• Doradztwo przy wdrażaniu systemów AI, przygotowujące organizację do pomyślnego przejścia przez państwowe oraz wewnętrzne audyty etyczne.

Dzięki takiemu wsparciu menedżerowie zyskują pewność, że formalności pozostają pod stałą kontrolą. Pozwala to firmie skupić się na bezpiecznym rozwoju biznesu.

Artykuł przygotowany na podstawie aktualnych przepisów chińskich obowiązujących w czerwcu 2026 roku. Informacje mają charakter wyłącznie informacyjny i nie stanowią porady prawnej.

Źródła i literatura:

1. Cybersecurity Law of the People’s Republic of China (amended 2026) – Stały Komitet ONZPL, październik 2025

2. Personal Information Protection Law of the People’s Republic of China – ONZPL, 20 sierpnia 2021

3. GB/T 45574-2025 – National Standard of the People’s Republic of China on Identification of Sensitive Personal Information

4. Interim Measures for the Management of Generative Artificial Intelligence Services (AIGC Measures) – CAC i 6 agencji, 15 sierpnia 2023

5. Measures for the Administration of Artificial Intelligence Technology Ethics Review and Services (Trial) – MOST, MIIT i 8 departamentów, 3 kwietnia 2026

6. Measures for the Certification of the Outbound Transfer of Personal Information – CAC, 1 stycznia 2026

7. Measures for the Administration of the Reporting of Cybersecurity Incidents – CAC, 1 listopada 2025

8. Network Data Security Management Regulation – Rada Państwu, 1 stycznia 2025

9. Regulations on Facilitating and Regulating Cross-border Data Transfers – Rada Państwu, 22 marca 2024

10. Opinions on Strengthening Ethical Governance in Science and Technology – Rada Państwu

11. Measures for the Administration of Personal Information Protection Compliance Audits – CAC, 1 maja 2025

12. Data Security Law of the People’s Republic of China – ONZPL, 1 września 2021