eMAG + Tencent: ajung datele tale pe mâna chinezilor? Explicație
eMAG a anunțat un parteneriat cu Tencent Cloud pentru a folosi infrastructura cloud globală și capabilități AI, cu obiectivul declarat de a livra servicii online mai fluide și scalare sezonieră rapidă. Parteneriatul este confirmat public de Tencent Cloud (comunicat din 22 octombrie 2025) și preluat în presa economică locală.
Beneficiile tehnice (scalabilitate, AI) vin însă cu un risc structural: conflictul de jurisdicție dintre GDPR și legislația chineză de informații și de protecție a datelor, care obligă companiile chineze private să coopereze cu agențiile de informații de stat. Doar măsuri tehnice de tip “client-controlled encryption” (CC-KMS) și rezidență strictă în UE pot reduce, nu elimina, aceste riscuri.
Contextul geopolitic ridică și un risc reputațional suplimentar: în ianuarie 2025, Departamentul Apărării al SUA a inclus Tencent pe lista companiilor chineze considerate a susține eforturile militare ale Beijingului – o etichetă fără interdicții imediate, dar cu impact în evaluarea deciziilor de business ale altor actori (companii, instituții financiare, clienți).
De ce contează: eMAG procesează volume semnificative de date personale
eMAG operează marketplace-uri la scară CEE și procesează volume semnificative de date personale, date tranzacționale și metadate comportamentale. Mutarea/integrarea acestor procese pe un cloud non-UE crește expunerea la: acces guvernamental forțat (sub legi non-UE), spionaj economic prin insights derivate din Big Data/AI, riscuri operaționale cloud (configurații eronate, breșe pe API-uri).
Tencent Cloud afirmă că oferă servicii în Uniunea Europeană, prin centre de date localizate la Frankfurt, împărțite în două zone de disponibilitate (eu-frankfurt-1 și eu-frankfurt-2). Platforma deține certificări internaționale de securitate, precum ISO 27001 și ISO 27701, care confirmă existența unor controale tehnice solide. Totuși, aceste certificări privesc doar partea operațională — ele nu elimină obligațiile legale pe care compania le are față de statul chinez, în baza legislației naționale.
Cadrul juridic: GDPR vs. CNIL/PIPL și lecția “Schrems II”
Regulamentul european privind protecția datelor (GDPR) impune reguli stricte pentru transferul datelor personale în afara Uniunii Europene. Dacă o companie parteneră se află într-o țară care nu are o decizie oficială de adecvare (cum este cazul Chinei), simpla semnare a unor clauze contractuale standard (SCC) nu este suficientă. Operatorul de date – în acest caz, eMAG – trebuie să realizeze o evaluare detaliată a riscurilor de transfer (TIA) și să implementeze măsuri tehnice suplimentare de protecție. Aceasta este esența jurisprudenței cunoscute drept „Schrems II”.
În China, Legea Națională a Informațiilor (CNIL, 2017) obligă companiile și cetățenii să „sprijine și să coopereze” cu autoritățile de informații ale statului – ceea ce intră în conflict direct cu principiile GDPR, care protejează confidențialitatea datelor.
O altă lege, Legea Protecției Informațiilor Personale (PIPL, 2021), extinde controlul statului chinez asupra datelor, inclusiv asupra celor colectate în afara Chinei, dacă acestea pot fi considerate relevante pentru „interesul public” sau „securitatea națională”.
În documentația oficială, Tencent Cloud declară că respectă regulile europene și include clauzele SCC și acordurile de procesare a datelor (DPA/DPSA) în contractele cu clienții din UE. Totuși, aceste garanții rămân teoretice, dacă nu sunt dublate de măsuri tehnice reale – în special de controlul exclusiv al cheilor de criptare de către client, adică de suveranitatea tehnică a datelor.
Matrice de risc – pe înțelesul tuturor
| Tip de risc | Cum poate apărea | Ce măsuri pot reduce riscul |
|---|---|---|
| Acces guvernamental forțat (legislația chineză CNIL/PIPL) | Autoritățile chineze ar putea solicita acces la datele stocate pe infrastructura Tencent, inclusiv la cheile de criptare sau la logurile tehnice. | eMAG ar trebui să cripteze toate datele sensibile cu chei de criptare gestionate doar în Uniunea Europeană, fără ca Tencent să aibă acces la ele. Astfel, chiar dacă s-ar cere datele, acestea ar fi inutile fără chei. |
| Spionaj economic prin analiza datelor (Big Data/AI) | Informațiile despre comportamentul de cumpărare, tendințele din piață sau algoritmii eMAG ar putea fi folosiți pentru a obține markets insights. | eMAG trebuie să se asigure că modelele de inteligență artificială rulează doar pe date anonimizate și că Tencent nu le poate reutiliza în scopuri proprii. |
| Transfer neautorizat al datelor în afara UE | Datele pot fi mutate automat într-o altă regiune cloud, din motive operaționale sau de mentenanță. | Se impune o politică strictă de rezidență a datelor, prin care toate informațiile să rămână exclusiv în centrele de date din Frankfurt (UE). Orice modificare a locației trebuie notificată și aprobată de eMAG. |
| Breșe de securitate și erori tehnice | Configurări greșite, permisiuni excesive sau vulnerabilități în interfețele API pot permite accesul neautorizat la informații. | eMAG ar trebui să realizeze audituri externe periodice de securitate, teste de penetrare și revizuiri ale permisiunilor de acces. De asemenea, este recomandată folosirea principiului „celui mai redus privilegiu” (PoLP) pentru toate conturile tehnice. |
Ce înseamnă practic pentru consumatorul român
Pentru cumpărătorul obișnuit, parteneriatul eMAG–Tencent Cloud nu schimbă vizibil experiența de navigare sau de cumpărare. Totuși, în spatele interfeței familiare, datele personale — nume, adrese, istoricul comenzilor sau preferințele de navigare — sunt acum gestionate pe o infrastructură aflată (cel puțin parțial) sub jurisdicția unui stat non-UE. De aceea, devine esențial cine controlează efectiv accesul la aceste date și unde sunt stocate.
Drepturile consumatorului rămân aceleași în teorie, conform GDPR: oricine își poate cere datele, le poate corecta, șterge sau transfera către alt furnizor. eMAG este obligat să răspundă acestor solicitări, indiferent de partenerii tehnici implicați.
În practică, însă, gradul real de protecție depinde de arhitectura tehnică a platformei — mai exact, dacă eMAG controlează cheile de criptare (și deci poate bloca accesul oricui altcuiva) și dacă datele sunt strict segmentate în centre de date din Uniunea Europeană.
Transparența devine un semn al încrederii. Ar fi util ca eMAG să publice o notă clară de confidențialitate în care să precizeze:
- Unde sunt stocate efectiv datele utilizatorilor (de exemplu, exclusiv în regiunea Frankfurt a Tencent Cloud);
- Cine are controlul asupra cheilor de criptare;
- Dacă și în ce măsură datele comportamentale (click-uri, căutări, timp petrecut pe pagină) sunt folosite în procesele de antrenare a algoritmilor de inteligență artificială furnizați de Tencent.
O astfel de comunicare ar arăta că eMAG tratează cu seriozitate suveranitatea datelor și ar întări încrederea publicului.
Controlul utilizatorului asupra personalizării AI – eMAG ar putea introduce, direct în contul clientului, opțiuni clare de tip opt-out pentru personalizările bazate pe algoritmi AI — adică posibilitatea de a alege dacă dorește sau nu ca activitatea sa online să fie folosită pentru recomandări sau campanii personalizate.
În același timp, compania ar trebui să explice transparent ce se schimbă atunci când un utilizator optează să nu participe: de exemplu, mai puține sugestii personalizate, dar aceleași funcționalități de bază.
Pe scurt, drepturile legale nu dispar, dar eficiența lor depinde de cât de deschis și responsabil este operatorul în a arăta unde sunt datele, cine le poate accesa și cum sunt protejate în fața oricărei presiuni externe.
Urmărește-ne și pe Google NEWS