Bảo vệ thông tin cá nhân ở Trung Quốc là gì? Giải thích các biện pháp mà các công ty Nhật Bản nên áp dụng từ bối cảnh ra đời của luật

Có thể nhiều người phụ trách pháp lý của các công ty đang có kế hoạch mở rộng hoặc đã mở rộng kinh doanh tại Trung Quốc đang gặp phải những băn khoăn về việc bảo vệ thông tin cá nhân ở Trung Quốc.

Bài viết này sẽ giới thiệu một cách toàn diện về các quy định pháp luật cần biết khi mở rộng kinh doanh tại Trung Quốc. Ngoài ra, chúng tôi cũng sẽ giải thích một cách dễ hiểu về phương pháp ứng phó và những điểm mà các công ty Nhật Bản cần phải đối mặt. Hãy tham khảo để hiểu rõ hơn về luật bảo vệ thông tin cá nhân của Trung Quốc và bắt đầu triển khai các biện pháp phòng ngừa.

Bối cảnh và mục đích của việc thiết lập Luật Bảo vệ Thông tin Cá nhân của Trung Quốc

Trước đây, Trung Quốc chưa từng có một đạo luật nào quy định một cách toàn diện về bảo vệ thông tin cá nhân như Luật Bảo vệ Thông tin Cá nhân của Nhật Bản. Tuy nhiên, đã có những nỗ lực nhằm xây dựng một luật như vậy từ trước, và vào ngày 1 tháng 11 năm 2021, “Luật Bảo vệ Thông tin Cá nhân của Trung Quốc” đã được thi hành lần đầu tiên tại Trung Quốc, đánh dấu sự ra đời của một đạo luật bao quát toàn diện về bảo vệ thông tin cá nhân.

Đặc biệt, mặc dù “Luật An ninh Mạng” và “Luật An ninh Dữ liệu” là những đạo luật có yếu tố an ninh quốc gia rất đậm nét, Luật Bảo vệ Thông tin Cá nhân của Trung Quốc lại tập trung vào việc bảo vệ quyền lợi của cá nhân.

Khuôn khổ của Luật Bảo vệ Thông tin Cá nhân của Trung Quốc có vẻ như chịu ảnh hưởng lớn từ các quy định pháp luật của các quốc gia khác gần đây, như “Quy định Chung về Bảo vệ Dữ liệu của EU (GDPR)”. Tuy nhiên, các điểm được công nhận là cơ sở hợp pháp và chi tiết về quyền của người dân lại mang nội dung độc đáo, do đó, việc đưa ra các biện pháp ứng phó cụ thể là điều cần thiết.

Đối tượng điều chỉnh của Luật Bảo vệ Thông tin Cá nhân Trung Quốc

Trong chương này, chúng tôi sẽ giải thích về đối tượng điều chỉnh của luật bảo vệ thông tin cá nhân Trung Quốc.
Nếu bạn đáp ứng các điều kiện dưới đây, bạn sẽ trở thành đối tượng của quy định này, vì vậy hãy chú ý.

• Trường hợp có mục đích cung cấp hàng hóa hoặc dịch vụ cho cá nhân ở Trung Quốc
• Trường hợp có mục đích phân tích hoặc đánh giá hành vi của cá nhân ở Trung Quốc
• Các trường hợp khác được quy định bởi pháp luật

Luật Bảo vệ Thông tin Cá nhân Trung Quốc có thể có hiệu lực không chỉ trong nước mà còn ở nước ngoài trong một số trường hợp. Ngoài ra, ngay cả khi ở nước ngoài, nếu bạn thực hiện hoạt động kinh doanh bán hàng hoặc phân tích hành vi đối với “cá nhân” ở Trung Quốc, luật này cũng sẽ được áp dụng, vì vậy hãy lưu ý.

Những điểm cần lưu ý khi hiểu về Luật Bảo vệ Thông tin Cá nhân của Trung Quốc

Trong chương này, chúng tôi sẽ giải thích từng điểm trong số 8 điểm quan trọng giúp bạn hiểu rõ hơn về việc bảo vệ thông tin cá nhân ở Trung Quốc.

Cơ sở Pháp lý của Tính hợp pháp

Doanh nghiệp chỉ có thể xử lý thông tin cá nhân khi thuộc một trong các cơ sở pháp lý hợp pháp được quy định trong Luật Bảo vệ Thông tin Cá nhân của Trung Quốc.

Có bảy cơ sở pháp lý như sau:

• Sự đồng ý của người liên quan
• Thực hiện hợp đồng
• Thực hiện nghĩa vụ pháp lý
• Sức khỏe cộng đồng
• Lợi ích công cộng
• Xử lý thông tin cá nhân đã được công bố
• Các trường hợp khác được quy định trong pháp luật và các văn bản liên quan

Như có thể thấy, “lợi ích hợp pháp” theo GDPR không được bao gồm. Do đó, so với GDPR, có thể dự đoán rằng sẽ có nhiều trường hợp cần phải xử lý thông tin cá nhân dựa trên sự đồng ý của người liên quan.

Ngoài ra, sự đồng ý phải được định nghĩa là “cái mà người liên quan có thể dễ dàng rút lại bất cứ lúc nào”. Cần phải chú ý đến việc tạo ra giao diện người dùng (UI) cho phép dễ dàng rút lại sự đồng ý, và mô tả phương thức rút lại một cách ngắn gọn và dễ hiểu.

Thông Tin Cung Cấp

Trước khi xử lý thông tin cá nhân, doanh nghiệp phải thông báo cho người đó về các nội dung liên quan theo yêu cầu của Luật Bảo Vệ Thông Tin Cá Nhân Trung Quốc bằng ngôn ngữ rõ ràng và dễ hiểu.

Ngoài mục đích xử lý, doanh nghiệp cũng cần cung cấp thông tin chi tiết về phương pháp xử lý, loại thông tin cá nhân, thời gian lưu trữ, cũng như cách thức và quy trình để người đó có thể thực hiện quyền của mình.

Thỏa thuận với Đối tác Được Ủy quyền

Khi ủy quyền xử lý thông tin cá nhân, cần phải đạt được thỏa thuận với đối tác được ủy quyền về mục đích xử lý, thời hạn, phương pháp xử lý, và các biện pháp bảo vệ thông qua hợp đồng ủy quyền.

Đồng thời, bạn cũng sẽ phải chịu trách nhiệm giám sát đối với việc xử lý được ủy quyền. Khi xử lý thông tin cá nhân cùng với các doanh nghiệp khác, hãy đảm bảo rằng bạn đã thỏa thuận trước về mục đích và phương pháp xử lý thông tin cá nhân, cũng như quyền lợi và nghĩa vụ của cả hai bên, tương tự như trong trường hợp ủy quyền.

Quy định về việc chuyển giao xuyên biên giới

Khi cung cấp thông tin cá nhân đã thu thập trong nước Trung Quốc cho bên thứ ba ở nước ngoài, bạn cần thực hiện hai biện pháp sau đây.

Đầu tiên, bạn phải thông báo tên và thông tin liên lạc của bên nhận thông tin cá nhân, mục đích và phương pháp xử lý, loại thông tin cá nhân, cũng như cách và thủ tục mà cá nhân có thể thực hiện quyền của mình đối với bên nhận. Sau đó, bạn phải thu thập sự đồng ý riêng lẻ từ người đó.

Thứ hai, bạn phải thực hiện một trong bốn biện pháp sau đây:

• Đã vượt qua đánh giá an ninh quốc gia
• Đã nhận được chứng nhận bảo vệ thông tin cá nhân từ tổ chức chuyên nghiệp
• Đã ký kết hợp đồng dựa trên các điều khoản chuẩn với bên nhận ở khu vực ngoài
• Đáp ứng các điều kiện khác do cơ quan thông tin Internet quốc gia quy định

Tùy thuộc vào nội dung thông tin cá nhân được chuyển giao, việc đánh giá an ninh quốc gia có thể là bắt buộc. Do đó, hãy kiểm tra xem có cần phải thực hiện đánh giá an ninh quốc gia theo ‘Pháp lệnh đánh giá an toàn dữ liệu chuyển giao ra nước ngoài’ hay không, rồi mới chọn lựa biện pháp phù hợp để thực hiện.

Về Quyền Lợi

Luật Bảo Vệ Thông Tin Cá Nhân của Trung Quốc công nhận cho cá nhân các quyền như quyền được biết, quyền xem xét, quyền sao chép, quyền rút lại, quyền chuyển đổi dữ liệu (portability), quyền sửa đổi và quyền xóa bỏ thông tin.

Ngoài ra, luật này còn công nhận “quyền của người đã khuất” – một quyền không được công nhận trong GDPR (General Data Protection Regulation – Quy Định Bảo Vệ Dữ Liệu Chung của Liên minh Châu Âu). “Quyền của người đã khuất” cho phép người thân trong gia đình có thể thực hiện các quyền thay mặt cho người đã mất. Do đó, chúng ta cũng cần chú ý đến việc bảo vệ thông tin của người đã khuất.

Nghĩa vụ báo cáo sự cố

Để ngăn chặn việc rò rỉ thông tin cá nhân, các doanh nghiệp cần phải thực hiện các biện pháp tương tự như những yêu cầu của Hệ thống Quản lý An ninh Thông tin (ISMS).

Dưới đây là một số ví dụ về các biện pháp được yêu cầu:

• Thiết lập quy định nội bộ
• Quản lý phân loại dựa trên mức độ bảo mật
• Mã hóa khi cần thiết
• Thực hiện việc sử dụng tên giả hoặc ẩn danh
• Thực hiện đào tạo cho nhân viên
• Xây dựng quy trình phản ứng với sự cố, v.v.

Về các biện pháp quản lý an toàn, do cả Luật An ninh Mạng của Nhật Bản và Luật An ninh Dữ liệu cũng đều quy định, nên việc sắp xếp và kiểm tra các yêu cầu của cả ba đạo luật này là điều được khuyến nghị.

Bài viết liên quan: Luật An ninh Mạng Trung Quốc là gì? Giải thích các điểm cần tuân thủ[ja]

Bài viết liên quan: Luật An ninh Dữ liệu Trung Quốc là gì? Giải thích các biện pháp mà doanh nghiệp Nhật Bản cần thực hiện[ja]

Nghĩa vụ thiết lập DPO và đại diện

Doanh nghiệp sẽ phải bổ nhiệm DPO (Người chịu trách nhiệm bảo vệ dữ liệu) khi số lượng thông tin cá nhân xử lý đạt đến một lượng nhất định.

Ngoài ra, các doanh nghiệp thuộc diện áp dụng ngoại lãnh thổ cần phải thiết lập đại diện tại Trung Quốc, và thông báo tên cũng như thông tin liên lạc cho cơ quan quản lý chính.

Nghĩa vụ thực hiện Đánh giá tác động bảo vệ thông tin cá nhân

Doanh nghiệp cần tiến hành đánh giá rủi ro trước và kiểm soát rủi ro một cách thích hợp nếu rơi vào bất kỳ trường hợp nào dưới đây:

Các trường hợp cần thiết phải thực hiện nghĩa vụ này bao gồm:

• Khi xử lý thông tin nhạy cảm
• Khi thực hiện quyết định tự động hóa
• Khi ủy thác xử lý thông tin cá nhân hoặc cung cấp thông tin cá nhân cho bên thứ ba
• Khi chuyển giao thông tin cá nhân ra nước ngoài
• Khi có khả năng ảnh hưởng nghiêm trọng đến quyền lợi và lợi ích của cá nhân

Hình phạt theo Luật Bảo vệ Thông tin Cá nhân tại Trung Quốc

Khi vi phạm, doanh nghiệp có thể đối mặt với các hình phạt nặng nề (lên đến 50 triệu Nhân dân tệ hoặc 5% doanh thu của năm trước). Do luật này cũng được áp dụng đối với các hoạt động kinh doanh ngoài lãnh thổ Trung Quốc, các doanh nghiệp Nhật Bản mở rộng hoạt động tại Trung Quốc cần phải nhanh chóng đưa ra các biện pháp ứng phó.

Biện pháp đối phó với Luật Bảo vệ Thông tin Cá nhân mà các doanh nghiệp Nhật Bản nên thực hiện

Trong chương này, chúng tôi sẽ giới thiệu 4 biện pháp bảo vệ thông tin cá nhân mà các doanh nghiệp Nhật Bản nên thực hiện.

Rà soát hệ thống tổ chức nội bộ

Đầu tiên, hãy xem xét việc rà soát hệ thống tổ chức nội bộ. Do có nghĩa vụ phải thiết lập người đại diện hoặc DPO (Data Protection Officer), việc rà soát hệ thống tổ chức nội bộ là cần thiết.

Ví dụ, có thể kể đến việc thiết lập các bộ phận chuyên môn về pháp lý và kỹ thuật phụ trách công tác tuân thủ liên quan đến dữ liệu chứa thông tin cá nhân, sắp xếp lại quy trình làm việc, thực hiện việc lập bản đồ dữ liệu chi tiết, và nhiều vấn đề khác.

Cập nhật quy định và chính sách

Việc cập nhật quy định và chính sách cũng rất quan trọng. Cần phải cập nhật quy định và chính sách theo đúng Luật Dữ liệu Trung Quốc ba điều.

Ngoài ra, không chỉ đơn thuần là xây dựng các quy định phản ánh yêu cầu của pháp luật, mà còn cần thiết lập các hoạt động có thể thực hiện được bởi tất cả nhân viên.

Nắm bắt thực tế hoạt động

Do Luật Bảo vệ Thông tin Cá nhân được ban hành vào ngày 1 tháng 11 năm 2021 (2021), việc nắm bắt thực tế hoạt động và thực hiện các biện pháp liên tục là cần thiết. Các nhân viên thuộc doanh nghiệp cũng được quy định phải tuân thủ nghiêm ngặt các quy tắc về xử lý thông tin cá nhân và pháp luật.

Do đó, doanh nghiệp cần tổ chức các khóa đào tạo định kỳ cho nhân viên để nâng cao nhận thức về các quy định pháp luật và thủ tục mới nhất.

Xây dựng hệ thống hợp tác với chuyên gia

Việc xây dựng và tăng cường hệ thống hợp tác với các chuyên gia cũng là điều không thể thiếu. Bằng cách xây dựng hệ thống hợp tác với các chuyên gia am hiểu về quy định pháp luật của Trung Quốc, doanh nghiệp có thể đáp ứng nhanh chóng. Ngoài ra, doanh nghiệp cần thường xuyên giám sát và đánh giá tình hình tuân thủ bảo vệ thông tin cá nhân. Vì vậy, việc xây dựng hệ thống hợp tác với các chuyên gia bên ngoài là điều cần thiết.

Tóm lược: Hiểu biết về nhiều quy định pháp luật và thực hiện các biện pháp chính xác

Vào ngày 1 tháng 11 năm 2021 (Reiwa 3), Trung Quốc đã thi hành ‘Luật Bảo vệ Thông Tin Cá nhân Trung Quốc’, đây là lần đầu tiên Trung Quốc ban hành một luật toàn diện về bảo vệ thông tin cá nhân. Đối với các doanh nghiệp phát triển kinh doanh toàn cầu, các quy định liên quan đến dữ liệu của Trung Quốc (Luật An ninh Mạng, Luật An ninh Dữ liệu, Luật Bảo vệ Thông Tin Cá nhân) là những quy định pháp luật không thể bỏ qua do tầm quan trọng của thị trường và mức độ nghiêm ngặt của các quy định. Tùy từng trường hợp, hãy chuẩn bị sẵn sàng một hệ thống có thể thực hiện các nhiệm vụ cần thiết với sự hỗ trợ của các chuyên gia khi cần thiết.

Giới thiệu các biện pháp của Văn phòng Luật sư Monolith

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong lĩnh vực IT, đặc biệt là Internet và luật pháp. Trong những năm gần đây, kinh doanh toàn cầu ngày càng mở rộng, và nhu cầu kiểm tra pháp lý bởi các chuyên gia ngày càng tăng. Văn phòng chúng tôi cung cấp các giải pháp liên quan đến pháp luật quốc tế.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp luật quốc tế & Kinh doanh nước ngoài[ja]