Why do Chinese servers bother us so much? || Proč nám tak vadí čínské servery?

Česká verze níže / Czech version below        

ENGLISH VERSION

Found a mistake? Let me know, I’ll be happy to correct it!        

Lately, I’ve been asked frequently: why are cybersecurity professionals so wary of anything running on Chinese servers? So let’s break it down.

Why does it matter where servers are physically located – and who owns them?

From a data protection and security standpoint, the most critical factor is where servers are physically located. If a server is located in China, then Chinese laws apply without exception, including those that allow state access to data without user consent.

The second key factor is ownership and operation. Even if a server is physically located in Europe — for example, in Germany — if it is operated by a Chinese company (such as Alibaba Cloud), that company still falls under Chinese jurisdiction. Specifically, under:

• the National Intelligence Law (Art. 7–10),
• the Counterterrorism Law (Art. 9),
• and the Counter-Espionage Law (Art. 8–9),

the Chinese state has the right to demand access to data — even if it's stored outside of China — as long as the operator is a Chinese entity. Furthermore, the operator is legally required to cooperate and remain silent about the extent of that cooperation.

So what does this mean?

• A server in China operated by a Chinese company is fully subject to Chinese authorities.
• A server in Germany operated by a Chinese company is also accessible to Chinese authorities, even though it's physically outside China.
• A server in Germany operated by a European company falls under European law (e.g., GDPR) and its owner is not obligated to hand data over to foreign governments.

How can regular users check where a server is located?

Even if you don’t know how to analyze network traffic or geolocate IP addresses, there’s a simple way to spot whether a web service is likely hosted on servers physically located in mainland China.

Under Chinese law, every internet-connected server hosted in China must be registered with the Ministry of Industry and Information Technology (MIIT).

Once registered, the provider receives an ICP Beian number, a unique content provider registration code. This number must be publicly displayed on the frontend of the website – usually in the footer.

There may also be a Public Security Beian number, which shows that the website is registered with the Public Security Bureau (PSB) — confirming compliance with Chinese cybercrime and national security regulations. This number also usually appears next to or below the ICP number.

What does a Beian number look like?

• Often starts with a province code (e.g. “京ICP备” for Beijing, “粤ICP备” for Guangdong).
• Followed by a number and ends in “号”.
• Example: 粤ICP备2023001234号

If you see a Beian number on a website, it means:

• The server is physically located in mainland China.
• The service is fully subject to Chinese laws, including state data access.
• In many cases, you cannot access backend functions without a Chinese ID or phone number (common for developer portals).

Beian number ≠ full detection

It's important to note: the Beian number only reveals basic cases. You won’t see it if a Chinese company hosts servers abroad (e.g., in the EU), or if the Chinese presence is indirect — such as through a European company acquired by a Chinese parent. In those cases, spotting Chinese legal exposure requires deeper technical or legal analysis.

Consequences of Chinese laws for end-users

1. Chinese legislation

China frequently criticizes Europe for its strict digital regulations, yet China enforces some of the most restrictive cybersecurity, data, and business laws in the world. These are enforced through multiple layers of control, combining: legal mandates, technical enforcement and operational constraints to ensure tight government oversight. At the core of this system is the Multi-Level Protection Scheme (MLPS).

MLPS is the technical enforcement mechanism for China’s cybersecurity laws. It defines technical standards and implementation rules that all networked systems in China must follow. It’s deeply integrated with China’s broader legal framework:

• Cybersecurity Law (CSL)
• Data Security Law (DSL)
• Personal Information Protection Law (PIPL)

These laws apply to all data stored or processed within China, regardless of who owns the data or where the user is located.

2. Legal obligation of Chinese companies to cooperate with the state

All companies based in China — including subsidiaries of foreign companies — are legally required to cooperate with Chinese intelligence and security agencies. This obligation is explicitly stated in the laws mentioned above.

In practice, this means that if a Chinese company says “the government has no access,” the Chinese government still has ways to compel access — without public legal process.

3. Risk of espionage

Data from energy systems (e.g., solar panels, batteries) can offer valuable insights into operations, infrastructure, and user behavior. This data:

• Can be used to map consumption patterns, technical weaknesses, or usage trends,
• Can help model vulnerabilities in energy grids or regional peak loads,
• And in extreme cases, could be used for targeted disruption or destabilization.

4. Incompatibility with European law (e.g., GDPR)

Under the General Data Protection Regulation (GDPR):

• Personal data of EU citizens can only be transferred to third countries that guarantee an adequate level of data protection.
• However, China does not have an adequacy decision from the European Commission. You can see the full list of countries with granted adequacy decision here.

This means that companies transferring personal or operational data to Chinese servers are likely violating EU law. If a breach or unauthorized access occurs, they may face significant fines and reputational damage.

Summary: Why Chinese Servers Are a Real Concern

Chinese servers represent a fundamentally different legal, political, and cybersecurity environment that is often incompatible with European data protection standards and democratic values. Here’s what we’ve learned:

• Physical location matters – Servers in China are automatically subject to Chinese laws, including those allowing government access to data without notice or consent.
• Ownership matters too – Even if the server is hosted in Europe, if it’s operated by a Chinese company, it still falls under Chinese jurisdiction through national security and intelligence laws.
• Chinese companies are legally required to cooperate with the state, even outside China – and to keep that cooperation secret.

ČESKÁ VERZE

Našli jste chybu? Dejte mi vědět, opravím !        

Poslední dobou dostávám hodně často otázku, proč mají lidi v kyberbezpečnosti takový odpor k čemukoliv, co je provozované na čínských serverech. Tak se na to podíváme.

Proč je důležité, kde jsou servery fyzicky a komu patří

Z hlediska bezpečnosti a ochrany dat záleží v první řadě na tom, kde jsou servery umístěné fyzicky. Pokud jsou servery fyzicky v Číně, pak se na ně bez výjimek vztahují čínské zákony, včetně těch, které umožňují státu vyžádat si přístup k datům bez souhlasu uživatele.

V druhé řadě záleží na tom, kdo je vlastníkem a provozovatelem těchto serverů. I když jsou servery fyzicky umístěné v Evropě – například v Německu – ale provozuje je čínská firma (např. Alibaba Cloud), pak tato firma stále podléhá čínské legislativě. Konkrétně podle:

• Zákona o národní zpravodajské činnosti (National Intelligence Law, čl. 7–10),
• Zákona o boji proti terorismu (Counterterrorism Law, čl. 9)
• Zákona o kontrašpionáži (Counter-espionage Law, čl. 8-9)

má čínský stát právo požadovat přístup k datům i na zahraničních serverech, pokud je provozuje čínský subjekt. Provozovatel má navíc zákonnou povinnost spolupracovat a mlčet o rozsahu této spolupráce.

To znamená, že:

• Server v Číně provozovaný čínskou firmou je plně v dosahu čínských úřadů.
• Server v Německu provozovaný čínskou firmou je také v dosahu čínských úřadů, byť fyzicky mimo Čínu.
• Server v Německu provozovaný evropskou firmou podléhá evropským zákonům (např. GDPR) a není povinen poskytovat data cizím státům.

Jak můžete jako běžný uživatel poznat, kde je server fyzicky umístěn?

I když si neumíte poradit se síťovou analýzou nebo geolokací IP adres, existuje jednoduchý způsob, jak odhalit, že webová služba běží na serverech fyzicky umístěných v Číně. Podle čínských zákonů musí být všechny webové stránky a online služby provozované na území Číny registrovány u Ministerstva průmyslu a informačních technologií (MIIT).

Po úspěšné registraci obdrží provozovatel tzv. ICP Beian číslo, což je unikátní identifikátor pro poskytovatele internetového obsahu. Ten musí být veřejně zobrazen na frontendu webu – obvykle v patičce stránky (footeru).

Dále může být na stránce viditelné také Public Security Beian číslo, které označuje, že webová stránka je registrována u Úřadu veřejné bezpečnosti (Public Security Bureau – PSB). Znamená, že provozovatel webu dodržuje předpisy týkající se kyberkriminality a národní bezpečnosti. Obvykle se zobrazuje vedle nebo pod ICP Beian číslem v patičce stránky.

Jak Beian číslo vypadá?

• Často začíná zkratkou provincie (např. „京ICP备“ pro Peking, „粤ICP备“ pro Guangdong).
• Následuje číselný kód a koncovka „号“.
• Např.: 粤ICP备2023001234号

Vždy platí, že server s Beian číslem:

• je lokalizován v pevninské Číně,
• spadá plně pod čínské zákony, včetně povinnosti spolupráce s úřady,
• nemůžete jej spravovat bez čínského ID nebo telefonního čísla (vývojářské portály aj.).

Beian číslo není všemocný indikátor:

Je ale důležité zdůraznit, že Beian číslo vám nepomůže odhalit komplikovanější případy: např. pokud čínská firma provozuje servery v zahraničí (např. v EU) nebo pokud je čínský vliv nepřímý (např. přes akvizici evropské firmy), potom Beian číslo na webu být uvedeno nemusí. V takovém případě potřebujete udělat pokročilejší analýzu.

Dopady čínských zákonů na koncové uživatele

1. Čínské zákony

Čína často kritizuje Evropu za přísné digitální regulace, přesto sama uplatňuje jedny z nejrestriktivnějších pravidel pro kybernetickou bezpečnost, nakládání s daty a podnikání na světě. Tyto restrikce prosazuje prostřednictvím víceúrovňového systému kontroly, který kombinuje právní požadavky, technické nástroje vynucování a provozní omezení. Základem tohoto vynucování je systém víceúrovňové ochrany (Multi-Level Protection Scheme, MLPS).

MLPS slouží jako technický nástroj pro vynucování čínských zákonů o kybernetické bezpečnosti – tedy poskytuje technické standardy a pravidla implementace, která zajišťují dodržování širších právních předpisů. MLPS se vztahuje na všechny síťové a informační systémy používané v rámci Číny. Je úzce provázán s celkovým právním rámcem Číny v oblasti kyberbezpečnosti, který zahrnuje zákon o kybernetické bezpečnosti (Cybersecurity Law, CSL), zákon o bezpečnosti dat (Data Security Law, DSL) a zákon o ochraně osobních údajů (Personal Information Protection Law, PIPL). Ty se vztahují na všechna data uložená nebo zpracovávaná v Číně, bez ohledu na to, kdo je jejich vlastníkem nebo odkud pochází.

2. Povinnost spolupráce čínských firem se státními orgány

Všechny firmy se sídlem v Číně – včetně poboček zahraničních společností – jsou podle platných zákonů povinny spolupracovat s čínskými bezpečnostními složkami. Tato povinnost je explicitně zakotvena v zákonech uvedených v předchozím textu.

V praxi to znamená, že pokud čínská firma tvrdí, že „stát nemá přístup“, čínský stát má prostředky, jak si přístup vynutit, a to bez veřejného soudního procesu.

3. Riziko špionáže

Data z energetických systémů (např. z fotovoltaiky, bateriových úložišť) mohou poskytovat cenné informace o provozu, infrastruktuře i chování zákazníků. Tato data:

• mohou být analyzována za účelem mapování spotřebního chování, technických slabin nebo provozních vzorců,
• mohou sloužit k vytváření modelů zranitelnosti energetických sítí nebo regionálních spotřebních špiček,
• v extrémním případě by mohla být využita k cíleným útokům nebo destabilizaci.

4. Nekompatibilita s evropským právem (např. GDPR)

Evropské nařízení o ochraně osobních údajů (GDPR) stanovuje, že:

• osobní údaje evropských občanů mohou být přenášeny do třetích zemí pouze tehdy, pokud tyto země zaručují srovnatelnou úroveň ochrany,
• u Číny ale Evropská komise nevydala rozhodnutí o tzv. „adequacy“, tedy o dostatečné ochraně. Kompletní seznam zemí, pro které bylo „adequacy“ vydáno, je ZDE.

Firmy, které přenášejí osobní nebo provozní data na čínské servery, tak riskují porušení evropských předpisů. Pokud k úniku nebo neoprávněnému přístupu dojde, mohou být vystaveny vysokým pokutám.

Souhrn

Čínské servery představují zcela odlišné právní, politické a kyberbezpečnostní prostředí, které je často v rozporu s evropskými standardy ochrany dat i demokratickými hodnotami. Co z článku vyplývá:

• Na fyzickém umístění záleží – Servery umístěné v Číně automaticky podléhají čínským zákonům, včetně těch, které umožňují státu přistupovat k datům bez souhlasu uživatele.
• Záleží i na vlastníkovi – I když je server fyzicky v Evropě, pokud ho provozuje čínská firma, spadá pod čínskou jurisdikci prostřednictvím zákonů o národní bezpečnosti a zpravodajství.
• Čínské firmy mají zákonnou povinnost spolupracovat se státem – a zároveň mlčet o rozsahu této spolupráce, i pokud působí v zahraničí.