Luật Bảo vệ thông tin cá nhân (PIPL) của Trung Quốc chính thức có hiệu lực từ hôm nay (1/11), đặt ra các quy tắc cơ bản về cách dữ liệu được thu thập, sử dụng và lưu trữ. Luật cũng quy định các yêu cầu xử lý dữ liệu đối với các công ty có trụ sở bên ngoài Trung Quốc.
Theo PIPL, các tập đoàn đa quốc gia chuyển thông tin cá nhân ra khỏi đất nước sẽ phải đạt được chứng nhận về bảo vệ dữ liệu từ các tổ chức chuyên nghiệp.
Theo ZDnet, luật này đã được thông qua vào tháng 8, sau khi trải qua một vài lần sửa đổi kể từ lần đầu tiên được giới thiệu vào tháng 10 năm ngoái. Chính phủ Trung Quốc sau đó cho biết, PIPL, chính thức có hiệu lực từ ngày 1/11, rất cần thiết để giải quyết các vấn đề phức tạp liên quan đến dữ liệu, đặc biệt khi các nền tảng trực tuyến thu thập dữ liệu cá nhân người dùng một cách quá mức.
Thông tin cá nhân được định nghĩa là tất cả các loại dữ liệu được ghi lại dưới dạng điện tử hoặc các hình thức khác, liên quan đến những người được nhận dạng hoặc có thể nhận dạng được. Nó không bao gồm dữ liệu ẩn danh.
PIPL cũng áp dụng cho các tổ chức nước ngoài xử lý dữ liệu cá nhân ở nước ngoài với mục đích cung cấp sản phẩm và dịch vụ cho người tiêu dùng Trung Quốc cũng như phân tích hành vi của người tiêu dùng Trung Quốc. Họ cũng sẽ phải thành lập các cơ quan được chỉ định hoặc cử đại diện có trụ sở tại Trung Quốc để chịu trách nhiệm về các vấn đề liên quan đến việc bảo vệ dữ liệu cá nhân.
Luật mới bao gồm một chương áp dụng cụ thể cho việc truyền dữ liệu xuyên biên giới, nêu rõ rằng các công ty chuyển thông tin cá nhân người dùng ra khỏi Trung Quốc trước tiên phải tiến hành "đánh giá tác động bảo vệ thông tin cá nhân", theo Văn phòng chịu trách nhiệm về dữ liệu quyền riêng tư về cá nhân của Hồng Kông (PCPD).
Ngoài ra, khi chuyển giao thông tin cá nhân người dùng ra nước ngoài, các công ty cũng cần phải có sự đồng ý riêng từ các cá nhân liên quan và đáp ứng một trong số các yêu cầu. Một trong những điều đó là doanh nghiệp (DN) phải đồng ý với một "hợp đồng tiêu chuẩn" do các cơ quan chức năng giám sát các vấn đề về không gian mạng ban hành. Ngoài ra, họ phải đáp ứng các yêu cầu được nêu trong các luật và quy định khác do các cơ quan có thẩm quyền thiết lập.
Các DN nước ngoài cũng sẽ phải thực hiện các biện pháp cần thiết để đảm bảo các bên nước ngoài khác tham gia xử lý dữ liệu tuân thủ các tiêu chuẩn bảo mật dữ liệu do PIPL quy định.
Leo Xin, cộng sự cấp cao của công ty luật Pinsent Masons, mô tả luật này là một "cột mốc" trong cơ chế pháp lý bảo vệ dữ liệu của Trung Quốc và kêu gọi các công ty đặc biệt chú ý đến những quy định về truyền dữ liệu xuyên biên giới.
Luật cũng kêu gọi việc xử lý dữ liệu cá nhân phải rõ ràng, hợp lý và giới hạn ở "phạm vi tối thiểu cần thiết" để đạt được mục tiêu xử lý thông tin của họ.
Theo PCPD, luật mới cũng quy định về vấn đề xử lý dữ liệu "tự động”, trong đó các hệ thống CNTT được sử dụng để tự động phân tích và đưa ra quyết định về hành vi của người tiêu dùng cũng như thói quen, sở thích, tài chính và sức khỏe. Với trường hợp này, các công ty sẽ phải đảm bảo các quy trình ra quyết định như vậy là minh bạch và công bằng. Người tiêu dùng cũng phải được cung cấp tùy chọn từ chối nhận nội dung được cá nhân hóa. Đánh giá tác động an ninh phải được thực hiện và các báo cáo này được lưu giữ trong ít nhất ba năm.
Các công ty vi phạm các quy định của PIPL có thể bị yêu cầu sửa chữa hoặc cảnh báo. Theo PCPD, chính quyền Trung Quốc cũng có thể tịch thu những “nguồn thu nhập bất hợp pháp".
Người vi phạm không tuân thủ lệnh khắc phục vi phạm sẽ bị phạt tới 1 triệu nhân dân tệ (150.000 USD), trong khi người chịu trách nhiệm đảm bảo tuân thủ có thể bị phạt từ 10.000 nhân dân tệ (1.500 USD) đến 100.000 nhân dân tệ (15.000 USD).
Đối với các trường hợp "nghiêm trọng", theo quy định, khoản tiền phạt lên tới 50 triệu nhân dân tệ (7,5 triệu USD) hoặc 5% doanh thu hàng năm của công ty trong năm tài chính trước đó. Ngoài ra, hoạt động kinh doanh của công ty có thể bị đình chỉ hoặc bị thu hồi giấy phép kinh doanh.
Chính phủ Trung Quốc tháng trước đã công bố trên các phương tiện truyền thông địa phương rằng họ sẽ thực hiện "các biện pháp có mục tiêu" để giải quyết vấn đề mà họ cho là vẫn tồn tại trong nền kinh tế kỹ thuật số, chẳng hạn như quản lý dữ liệu kém.
Theo South China Morning Post, Bộ Công nghiệp và CNTT đang đẩy mạnh việc giám sát lĩnh vực Internet như một phần của chiến dịch kéo dài 6 tháng, bắt đầu vào tháng 7. Bộ này gần đây đã yêu cầu 43 ứng dụng phải cải chính sau khi bị phát hiện chuyển dữ liệu người dùng bất hợp pháp.
Cơ quan Quản lý Không gian mạng Trung Quốc (CAC) vào tháng 7 đã ra lệnh cho nền tảng chia sẻ xe Trung Quốc Didi xóa ứng dụng khỏi các cửa hàng ứng dụng địa phương, sau khi vi phạm các quy định quản lý việc thu thập và sử dụng dữ liệu cá nhân. Didi đã được hướng dẫn để khắc phục "các vấn đề hiện có" và "bảo vệ hiệu quả" dữ liệu cá nhân của người dùng.
Vào tháng 5, CAC đã liệt kê 33 ứng dụng di động thu thập nhiều dữ liệu người dùng hơn mức cần thiết khi cung cấp dịch vụ. Các công ty này bao gồm cả Baidu và Tencent Holdings.
Tháng trước, Tencent cho biết họ đang thành lập một ủy ban để đánh giá các chính sách bảo vệ dữ liệu người dùng và quyền riêng tư của mình. Nhóm bao gồm các chuyên gia kỹ thuật, pháp lý và truyền thông cũng như thành viên của công chúng, gã khổng lồ công nghệ Trung Quốc cho biết. Sau đó, ủy ban sẽ đưa ra khuyến nghị về các cải tiến, nếu và khi cần thiết, để bảo vệ quyền riêng tư của người dùng tốt hơn./.