Coğrafi Odak: Asya, Coğrafi Özel, Standartlar, Düzenlemeler ve Uyumluluk
Rekabetçi Veri Egemenliği Kuralları Sınır Ötesi Veri Aktarımlarını Karmaşıklaştırıyor
Rubaiyyaat Ekber •
30 Eylül 2024
Güneydoğu Asya, veri merkezi büyümesi için önemli bir merkez olarak ortaya çıkıyor ve küresel olarak en hızlı genişlemelerden birine tanık oluyor. Bölge, 2021 yılında 8,71 milyar dolar değerinde olan yaklaşık 200 veri merkezine ev sahipliği yapıyor ve Arizton tarafından yürütülen son pazar araştırmasına göre pazarın 2029 yılına kadar 17,73 milyar dolara ulaşması bekleniyor. Böylesine muazzam bir büyüme potansiyeline rağmen, ASEAN ülkeleri genelinde kişisel veri koruma düzenlemelerinin değişen gelişim düzeyleri ve farklı öncelikleri işletmeler için zorluklar yaratmaktadır.
Ayrıca bakınız: JAPAC | Uygulamalarınızı Güvenceye Alın: Yapay Zeka Tarafından Oluşturulan Kod Riskini Nasıl Önleyeceğinizi Öğrenin
Birçok Güneydoğu Asya ülkesinin veri koruma çerçeveleri Avrupa Birliği’nin Genel Veri Koruma Yönetmeliğine benzese de, uluslararası veri aktarımlarını kısıtlama motivasyonları önemli ölçüde farklılık göstermektedir. Bireysel hakları vurgulayan AB’den farklı olarak Güneydoğu Asya ülkeleri verilere öncelikle devlet egemenliği merceğinden bakıyor.
Bu ülkeler, kendi sınırları içinde üretilen ve vatandaşlarının sahip olduğu verilerin kontrol edilmesi ve korunmasının, ulusal güvenlik ve devlet egemenliğinin korunması açısından hayati önem taşıdığını savunuyor. Düzenleyici ortam, farklı ulusal öncelikleri yansıtacak şekilde bölge genelinde büyük farklılıklar göstermektedir. Örneğin, Filipinler, sınır ötesi veri aktarımlarında minimum kısıtlamalarla iş dostu bir duruş sergilerken Vietnam, katı veri yerelleştirme gerekliliklerini uygulayarak ulusal güvenliğe vurgu yapıyor. Bu düzenleyici çeşitlilik, bölgenin dijital politikalarını uyumlu hale getirme çabalarını karmaşık hale getiriyor.
Veri Yerelleştirmesi Nedir?
Veri yerelleştirmesi, işletmelerin dijital verileri bir ülkenin sınırları içinde saklamasını ve işlemesini gerektiren yasa veya düzenlemeleri ifade eder. Bu genellikle, kişisel veya hassas bilgileri koruyan yerel gizlilik yasalarının uygulanmasını amaçlayan, verilerin diğer ülkelere aktarımının kısıtlanmasını içerir. Ayrıca hükümetlerin düzenleyici ve yasal amaçlarla verilere daha kolay erişmesini sağlar. Veri yerelleştirme yasaları, genellikle verilerin etkili bir şekilde yerel olarak depolanmasını ve işlenmesini gerektirebilen belirli koşullar altında izin verilen sınır ötesi veri aktarımlarına ilişkin düzenlemeler yoluyla dolaylı olarak oluşturulabilir.
Veri gizliliği endişeleri Güneydoğu Asya’da ve küresel olarak arttıkça, birçok ülke kişisel bilgileri korumak için veri yerelleştirmesine yöneliyor. Ancak uzmanlar, bu önlemlerin risk temelli bir yaklaşımla uygulanması ve veri koruma çabalarının inovasyon ve ekonomi üzerindeki potansiyel etkilerle dengelenmesinin sağlanması gerektiğini tavsiye ediyor.
Her şey nasıl başladı?
ASEAN Dijital Master Planı 2025’in hedefi bölgenin dijitalleşmesini teşvik etmektir. Güneydoğu Asya’daki ülkeler veri yönetimi planlarını oluşturmak için daha fazla çalışıyor. Singapur, Malezya ve Hong Kong, kişisel bilgilerin korunmasına ve iş uyumluluğunun sağlanmasına odaklanarak, veri koruma yasalarına ilişkin oldukça yaygın yaklaşımları benimsemiştir.
Bu yasalar, verilerin yerel olarak saklanmasını gerektirmese de kişisel verilerin rıza, güvenlik önlemleri ve diğer koşullarla sınır ötesine aktarılmasını düzenlemektedir. Şirketler, alıcı ülke veya kuruluşun yeterli koruma sağlamasını veya gerektiğinde ek önlemler almasını sağlamalıdır. Bazı durumlarda, verilerin uluslararası olarak aktarılabilmesi için Veri Gizliliği Komisyonunun onayına ihtiyaç duyulur.
Endonezya, belirli verilerin kendi sınırları içinde işlenmesini ve saklanmasını gerektiren veri yerelleştirme yasalarını uygulayan birkaç Güneydoğu Asya ülkesi arasında yer alıyor. Elektronik Sistemler ve İşlemlere ilişkin 2019 tarihli 71 Sayılı Hükümet Yönetmeliği veya GR 71 kapsamında, elektronik sistem operatörleri iki kategoriye ayrılmıştır: kamu ve özel. Devlet kurumları ve onların atanmış kuruluşları gibi kamu ESO’ları Endonezya’da verileri işlemeli ve depolamalıdır. İşletmeler de dahil olmak üzere özel ESO’lar yurt dışında veri depolama esnekliğine sahiptir. Finansal hizmetler gibi belirli endüstriler, kişisel verilerin yalnızca Endonezya’da işlenmesini ve saklanmasını zorunlu kılan sektöre özgü kurallarla karşı karşıya kalabilir.
Vietnam, 12 Haziran 2018 tarihinde yürürlüğe giren ve daha sonra 53/2022/ND-CP sayılı Kararname ile açıklığa kavuşturulan 24/2018/QH14 sayılı Siber Güvenlik Kanunu kapsamında veri yerelleştirme düzenlemeleri oluşturmuştur. Bu yasa, hesap bilgileri ve ilişki verileri de dahil olmak üzere kullanıcı verilerinin Vietnam’da en az 24 ay süreyle saklanmasını zorunlu kılmaktadır. Uluslararası şirketlerin bu veri saklama yükümlülüklerini yerine getirmeleri ve Kamu Güvenliği Bakanlığı’nın talebi üzerine 12 ay içerisinde yerel ofisler kurmaları gerekiyor. Buna yanıt olarak Amazon, Google ve Meta gibi teknoloji devlerini temsil eden ABD’li iş grupları, Başbakan Pham Minh Chinh’e yazdıkları bir mektupta endişelerini dile getirerek, bu yasanın yatırımları engelleyebileceği ve Vietnam’daki işletmelerin operasyonel maliyetlerinin değerlendirilmesini zorlaştırabileceği konusunda uyarıda bulundu. Bloomberg.
Yerelleştirme Gereksinimlerinde ‘Büyüyen Boşluk’
Statista, küresel bulut bilişim sektörünün 2024’ten 2029’a kadar %18,49 oranında gelişerek 1 milyar 806 milyar dolar değerine ulaşacağını öngördü. Taleplerini karşılamak için işletmelerin genel bulutta hizmet olarak altyapı (IaaS) dahil olmak üzere bir dizi bulut hizmetini kullanacağı öngörülüyor. Bulut bilişim, işletmelerin verileri dünyanın herhangi bir yerinde işlemesini ve depolamasını mümkün kılsa da, verilerin ulusal sınırları aşma kolaylığı birçok hükümetin dikkatini çekmiştir.
Ülkeler, verilerin nerede işlenebileceğini ve saklanabileceğini belirleyen veri yerelleştirme düzenlemelerini yürürlüğe koyuyor. Belirli bir bölgede faaliyet gösteren veya sakinlerinin bilgilerini toplayan ve kullanan kuruluşlar bu yasalara uymak zorundadır. Ancak uyumluluğa ulaşmak, özellikle genel bulut hizmetlerinden yararlanırken özellikle karmaşık olabilir. Genel bulut tekliflerini, özellikle de hiper ölçekli sağlayıcıların sunduğu teklifleri kullanırken yerel düzenlemeleri karşılamaya çalışan kuruluşlar için iki temel zorluk ortaya çıkıyor.
Veri yerelleştirme gereklilikleri hem sektöre özel hem de genel mevzuata dağılmıştır ve bu politikaların gerekçeleri, her bir talimattan etkilenen verilerin kapsam ve kapsamını şekillendirmektedir. Çin, Endonezya, Tayland ve Vietnam gibi ülkeler en sıkı kısıtlamalardan bazılarını uyguluyor. Auckland Üniversitesi İşletme Fakültesi’nde doçent olan Gehan Gunasekara, farklı yetki alanları arasında yerelleştirme gereksinimlerinde “büyüyen bir boşluğa” dikkat çekti. Bu eşitsizlik, veri egemenliği önlemlerini benimseyen ulusların çeşitli sektörlerde küresel ekonomiyi bozabileceği yönündeki endişeleri artırıyor.
Ticari Sonuçlar
Uluslararası BT destekli hizmet ihracatı alanında Bangladeş, Endonezya, Pakistan ve Vietnam gibi ülkeler öne çıkıyor. Oxford’un Çevrimiçi İşgücü Endeksi’ne göre Bangladeş, %15 ile Hindistan’ın ardından dünya çapında en büyük ikinci iş işçisi oranına sahip. Asya’da onu Pakistan, Filipinler, Vietnam ve Endonezya takip ediyor. Bu ülkeler arasında depolama ve veri aktarımı düzenlemelerindeki önemli farklılıklara rağmen, küresel şirketler, her yargı bölgesindeki yasal çerçevelere uyum sağlamak için gerekli olan çeşitli aktarım gereklilikleri nedeniyle artan uyum maliyetleriyle karşı karşıyadır. Bilgi Teknolojisi ve İnovasyon Vakfı’nın araştırması, veri akışlarını kısıtlamanın bir ülkenin ekonomisi üzerinde istatistiksel olarak anlamlı bir etkiye sahip olduğunu, özellikle genel ticareti azalttığını ve verilere giderek daha fazla bağımlı olan alt sektör şirketlerinin ithalat maliyetlerini artırdığını gösteriyor.
Veri yerelleştirmesi ekonominin tamamını etkiler. ITIF’in modeli ticaret hacimlerinin ithalata paralel olarak azaldığını gösteriyor. Yerli üretimde girdi olarak kullanıldıkları için yüksek ithalat maliyetleri ihracatı da azaltıyor. ITIF, bir sektörün veri kısıtlayıcılığında bir birimlik artışın, bir sonraki yılın ticaretinde %0,5’lik bir düşüşle ilişkili olduğunu buldu; buna ithalatta %0,6’lık bir düşüş ve ithalat fiyatlarında %0,9’luk bir artış da dahildir.
Akıllı Veri Yönetişimi
Özellikle Asyalı gelişmekte olan ülke politika yapıcıları için, geçerli kamu politikası konularını yeterince ele alan akıllı bir veri yönetişim yapısı oluşturmak zor olabilir. Ancak verilerin ve dijital teknolojinin ekonomik kalkınmayı ilerletmede ne kadar önemli olduğu göz önüne alındığında, bu yetkililerin doğru dengeyi kurması gerekiyor. Yerel veri sahipliğinin uygun olduğu yönündeki hatalı inanca teslim olmak yerine, dijital büyümeyi teşvik eden ve kamu verilerinin korunmasına yönelik uluslararası normları benimseyen akıllı veri yönetimi politikalarını uygulamaya koymaya odaklanmaları gerekiyor.
Akıllı veri yönetişimi, veri ve dijital teknolojilerin önemli toplumsal ve ekonomik avantajlarını koruyan açık, hedefli ve dengeli bir yaklaşım sağlarken meşru endişeleri gidermek için yasaların modernleştirilmesini içerir. Politika yapıcılar maliyetli ve yanlış yönlendirilmiş veri yerelleştirme politikalarına bağlı kalırsa, daha etkili dijital stratejilere sahip ülkelerin rekabet avantajı kazanmasına izin verme riskiyle karşı karşıya kalırlar. Sonuç olarak, bu bölgelerdeki akıllıca yönetilen işletmeler ve ekonomiler gelişebilir, kısıtlayıcı politikalara bağlı kalanlar ise zorluk yaşayabilir ve daha da geride kalabilir.