Trung Quốc bắt đầu thiết lập hệ thống quy tắc bảo vệ thông tin cá nhân vào năm 2012, và kể từ đó chính phủ và tòa án đã ban hành một số quy tắc liên quan.
Hiện tại, Trung Quốc đang soạn thảo Luật bảo vệ thông tin cá nhân. Trong tương lai, Luật Bảo vệ thông tin cá nhân sẽ hình thành hệ thống quy tắc bảo vệ thông tin cá nhân của Trung Quốc cùng với Bộ luật Dân sự, Luật An ninh mạng, Luật Bảo vệ Quyền lợi Người tiêu dùng, Luật Bảo mật Dữ liệu và các quy định hành chính khác, diễn giải tư pháp và các quy định của bộ.
I. Luật
1. Bộ luật dân sự Trung Quốc: Phần IV Quyền nhân cách (2020)
Trung Quốc quy định về bảo vệ thông tin cá nhân trong chương hoàn chỉnh của Bộ luật Dân sự năm 2020, tức là Chương 6 về quyền riêng tư và bảo vệ thông tin cá nhân trong Phần IV Quyền nhân thân của Bộ luật Dân sự Trung Quốc (từ Điều 1032 đến Điều 1039).
Các điểm chính của chương này như sau:
(1) Một thể nhân sẽ được hưởng quyền riêng tư. Không tổ chức hoặc cá nhân nào được xâm phạm quyền riêng tư của bất kỳ người nào khác bằng cách gián điệp, xâm nhập, tiết lộ hoặc công bố thông tin có liên quan hoặc bằng bất kỳ phương thức nào khác. (Điều 1032 và 1033)
(2) Thông tin cá nhân về thể nhân sẽ được pháp luật bảo vệ. (Điều 1034)
(3) Thông tin cá nhân là tất cả các loại thông tin được ghi lại bằng điện tử hoặc cách khác có thể được sử dụng để nhận dạng độc lập hoặc được kết hợp với các thông tin khác để xác định một thể nhân cụ thể, bao gồm tên, ngày sinh, số chứng minh nhân dân, sinh trắc học thông tin, địa chỉ, số điện thoại, địa chỉ e-mail, thông tin sức khỏe, nơi ở, v.v. (Điều 1034)
(4) Việc xử lý thông tin cá nhân trước tiên phải được sự đồng ý của thể nhân hoặc người giám hộ của họ, và không được vi phạm pháp luật, quy định hành chính hoặc thỏa thuận của cả hai bên. (Điều 1035)
(5) Việc xử lý thông tin cá nhân bao gồm việc thu thập, lưu trữ, sử dụng, xử lý, truyền, cung cấp và tiết lộ thông tin cá nhân, v.v. (Điều 1035)
(6) Người xử lý thông tin không được tiết lộ hoặc giả mạo thông tin cá nhân được thu thập và lưu trữ bởi người đó. Nếu không có sự đồng ý của thể nhân, người xử lý thông tin không được cung cấp bất hợp pháp thông tin cá nhân của thể nhân đó cho bất kỳ người nào khác, ngoại trừ thông tin đã được xử lý để không thể xác định được cá nhân cụ thể và không thể khôi phục được. ( Điều 1038)
2. Luật Bảo vệ Thông tin Cá nhân của Trung Quốc (Dự thảo) (2020)
Cơ quan lập pháp của Trung Quốc, Ủy ban Thường vụ Đại hội Đại biểu Nhân dân Toàn quốc, đang soạn thảo Luật Bảo vệ Thông tin Cá nhân, và dự thảo đã được công bố vào ngày 12 tháng 2020 năm XNUMX. Cho đến nay, dự thảo vẫn chưa được biểu quyết.
Các điểm chính của luật này như sau:
(1) Luật này không chỉ áp dụng cho bất kỳ tổ chức hoặc cá nhân nào xử lý thông tin cá nhân của thể nhân ở Trung Quốc, mà còn đối với các hoạt động cụ thể xử lý thông tin cá nhân của thể nhân ở Trung Quốc bên ngoài Trung Quốc. (Điều 1)
(2) Thông tin cá nhân nhạy cảm được bảo vệ đặc biệt. Thông tin này bao gồm chủng tộc, dân tộc, tôn giáo, đặc điểm sinh học cá nhân, sức khỏe y tế, tài khoản tài chính, nơi ở cá nhân. (Điều 29)
(3) Người xử lý thông tin chỉ có thể xử lý thông tin cá nhân nhạy cảm trong các điều kiện sau: (1) Họ phải sử dụng thông tin trong một số trường hợp nhất định; (2) Họ đã có được sự đồng ý cụ thể của các cá nhân liên quan đến thông tin. (Điều 29, Điều 30)
(4) Nếu bên xử lý thông tin cần cung cấp thông tin cá nhân bên ngoài Trung Quốc, bên xử lý sẽ được sự chấp thuận của cơ quan quản lý. (Điều 38)
(5) Trong tương trợ tư pháp quốc tế, nếu các cơ quan xử lý thông tin cần cung cấp thông tin cá nhân bên ngoài Trung Quốc, họ cần được sự chấp thuận của các cơ quan hữu quan. (Điều 41)
(6) Khi thông tin cá nhân được xử lý bởi người xử lý thông tin đạt đến một lượng nhất định, nó nên chỉ định một người nhất định làm người chịu trách nhiệm bảo vệ thông tin cá nhân. Người phụ trách sẽ giám sát các hoạt động xử lý thông tin cá nhân và các biện pháp bảo vệ. (Điều 51)
(7) Nếu người xử lý thông tin vi phạm luật này, không chỉ bị tịch thu thu nhập bất hợp pháp mà còn bị phạt tiền dưới 50 triệu nhân dân tệ hoặc dưới 5% doanh thu của năm trước. (Điều 62) Đây phải là mức phạt cao nhất trong tất cả các luật của Trung Quốc cho đến nay.
3. Luật An ninh mạng của Trung Quốc (2017)
Phần thứ tư của luật này, an toàn thông tin mạng, quy định nghĩa vụ của nhà khai thác mạng trong việc bảo vệ thông tin cá nhân của người dùng, như:
Các nhà khai thác mạng phải giữ bí mật thông tin người dùng mà họ thu thập, và không được tiết lộ, giả mạo hoặc phá hủy thông tin cá nhân mà họ thu thập; họ sẽ không cung cấp thông tin cá nhân cho người khác mà không có sự đồng ý của người được thu thập. (Điều 40, Điều 42)
Nhà khai thác mạng không được thu thập thông tin cá nhân không liên quan đến dịch vụ mà họ cung cấp. Chúng phải nêu rõ mục đích, phương pháp, phạm vi thu thập, sử dụng thông tin và được sự đồng ý của người được thu thập. (Điều 41)
4. Quyết định Tăng cường Bảo vệ Thông tin Mạng (2012)
Quyết định lần đầu tiên thiết lập tại Trung Quốc các quy tắc về thu thập và sử dụng thông tin cá nhân và nghĩa vụ của các nhà cung cấp dịch vụ mạng trong việc bảo vệ thông tin cá nhân. Tất cả các luật của Trung Quốc về an ninh mạng và bảo vệ thông tin cá nhân đều có thể bắt nguồn từ điều khoản này.
II. Quy tắc phòng ban
1. Quy định về Bảo vệ Thông tin Cá nhân của Trẻ em trên Mạng (2019)
Các Điều khoản nhằm mục đích bảo vệ an toàn thông tin cá nhân của trẻ em (tức là trẻ vị thành niên dưới 14 tuổi) bằng cách giám sát việc thu thập, lưu trữ, sử dụng, chuyển giao và tiết lộ thông tin cá nhân của trẻ em thông qua Internet trong lãnh thổ Trung Quốc.
2. Các biện pháp để xác định việc thu thập và sử dụng bất hợp pháp thông tin cá nhân của Apps (2019)
Các biện pháp nhằm mục đích cung cấp tài liệu tham khảo cho các cơ quan quản lý để xác định việc thu thập và sử dụng bất hợp pháp thông tin cá nhân của Ứng dụng, đồng thời cung cấp hướng dẫn cho các nhà điều hành Ứng dụng tự kiểm tra và tự sửa chữa cũng như sự giám sát của xã hội đối với người dùng Internet.
3. Quy định về Bảo vệ Thông tin Cá nhân của Người dùng Viễn thông và Internet (2013)
Các Điều khoản quy định rằng: (1) Các nhà cung cấp dịch vụ phải công bố các quy tắc về thu thập và sử dụng thông tin cá nhân. (2) Nếu không có sự đồng ý của người dùng, nhà cung cấp dịch vụ sẽ không thu thập thông tin cá nhân của người dùng và họ chỉ có thể thu thập thông tin cần thiết cho việc cung cấp dịch vụ. (3) Các nhà cung cấp dịch vụ phải ngăn chặn việc rò rỉ, hư hỏng, giả mạo hoặc mất thông tin cá nhân của người dùng.
VI. Phiên dịch tư pháp
Các Điều khoản nhằm giải thích Điều 36 của Luật Tort của CHND Trung Hoa, tức là trong những trường hợp nào thì người dùng mạng và nhà cung cấp dịch vụ mạng phải chịu trách nhiệm pháp lý nếu họ sử dụng mạng để xâm phạm quyền và lợi ích dân sự của người khác.
Điều 36 Luật Tra tấn quy định người sử dụng mạng, nhà cung cấp dịch vụ mạng sử dụng mạng để xâm phạm quyền dân sự của người khác phải chịu trách nhiệm pháp lý.
Điều đáng chú ý là, Sau khi Bộ luật Dân sự năm 2020 của Trung Quốc có hiệu lực, Luật Tra tấn đã bị bãi bỏ. Bộ luật Dân sự Trung Quốc: Phần VII Trách nhiệm đối với Tra tấn cung cấp các quy định chi tiết hơn về vi phạm mạng tại Điều 1194, Điều 1195, Điều 1196 và Điều 1197.
V. Tiêu chuẩn kỹ thuật
1. Đặc tả bảo mật thông tin cá nhân (PI) - Tiêu chuẩn Quốc gia Trung Quốc (2020) 信息 安全 技术 个人 信息 安全 规范
Photo by Road Trip với Raj (https://unsplash.com/@roadtripwithraj) trên Unsplash