2020年10月21, Ủy ban Pháp luật của Đại hội đại biểu nhân dân toàn quốc đã công khai xem xét "Luật bảo vệ thông tin cá nhân (Dự thảo)" (sau đây gọi là“Bản nháp”) để nhận xét. Dự thảo đáp ứng các thông lệ tuân thủ dữ liệu gần đây, dựa trên kinh nghiệm quốc tế, tạo ra một lộ trình pháp lý mới phù hợp với điều kiện quốc gia và hướng tới tương lai, đồng thời cũng sẽ đặt nền tảng để đất nước tôi chiếm một vị trí trong bảo vệ dữ liệu quốc tế hệ thống diễn ngôn.

1. Chỉ có thể sử dụng nguyên tắc “đồng ý” khi tai m88?

Có được sự đồng ý của cá nhân từ lâu đã là cơ sở hợp pháp duy nhất để tai m88, trừ khi cần thiết để thực hiện nghĩa vụ pháp lý. Có tính đến sự phức tạp của đời sống kinh tế, xã hội và các tình huống tai m88 khác nhau, dự thảo quy định các tình huống trong đó thông tin cá nhân được xử lý hợp pháp dựa trên sự đồng ý của cá nhân, cụ thể là: cần thiết để ký kết hoặc thực hiện hợp đồng, cần thiết để thực hiện các nghĩa vụ hoặc nghĩa vụ pháp lý và cần thiết để bảo vệ Việc tai m88 là cần thiết vì sự an toàn tính mạng, sức khỏe và tài sản của thể nhân và trong giới hạn hợp lý vì lợi ích công cộng.

Mặc dù vậy, "sự đồng ý về thông tin" vẫn là cốt lõi của các quy tắc tai m88 và đã được triển khai rộng rãi trong hệ thống pháp luật và quản lý hiện có trong nước. Dự thảo cải thiện và cập nhật đáng kể các quy tắc "thông báo-đồng ý", điều này chắc chắn sẽ có tác động sâu sắc đến hệ sinh thái tuân thủ.

(1) Nghĩa vụ thông báo rộng rãi. Một quan niệm sai lầm phổ biến là thông báo chỉ là điều kiện tiên quyết để đồng ý tai m88.

(2) Sự đồng ý là sự thể hiện ý định một cách tự nguyện và rõ ràng với tiền đề là được thông tin đầy đủ. "Tự nguyện" có nghĩa là sự thể hiện ý định xuất phát từ ý chí tự do của chính mình.

(3) Tạo ra các khái niệm mới: thỏa thuận riêng. Dự thảo không giải thích ý nghĩa cụ thể của “sự đồng ý riêng” mà chỉ quy định nhiều tình huống cụ thể cần có “sự đồng ý riêng”, cụ thể: cung cấp việc tai m88 cho bên thứ ba, xử lý công khai thông tin cá nhân, cài đặt bộ sưu tập hình ảnh và dữ liệu cá nhân. nhận dạng thiết bị ở nơi công cộng, tai m88 nhạy cảm và cung cấp thông tin cá nhân ra nước ngoài.

Thông tin cá nhân cũng có thể được xử lý nếu cần thiết cho việc ký kết hoặc thực hiện hợp đồng mà cá nhân đó là một bên. Đây là một cài đặt rất đột phá và nếu được sử dụng đúng cách, nó sẽ mang lại rất nhiều thuận tiện cho việc tai m88 trong các tình huống kinh doanh.

2. Chính xác thì thông tin cá nhân nhạy cảm bao gồm những gì và tại sao thông tin đó lại được chia thành các phần riêng biệt?

Dự thảo phản ánh quan điểm xem xét "con đường rủi ro" trong việc bảo vệ thông tin cá nhân, tức là khi điều chỉnh hành vi tai m88, hãy phân biệt giữa các ưu tiên và tập trung vào việc lớn, bỏ qua việc nhỏ. Doanh nghiệp cũng nên phân bổ nguồn lực tuân thủ hợp lý cho phù hợp. . Phần riêng về quy định tai m88 nhạy cảm là một trong những bằng chứng.

Người tai m88 chỉ có thể tai m88 nhạy cảm khi cần thiết cho một mục đích cụ thể. Về nghĩa vụ "thông báo và chấp thuận", các cá nhân cần được thông báo thêm về sự cần thiết của việc tai m88 nhạy cảm và tác động đối với các cá nhân, đồng thời phải có sự đồng ý riêng của cá nhân hoặc phải có sự đồng ý bằng văn bản theo quy định của pháp luật.

Phạm vi thông tin cá nhân nhạy cảm chỉ được xác định rộng rãi và chưa đầy đủ trong bản dự thảo. Trong thực tế, bạn có thể tham khảo Bảng B.1 của "Thông số bảo mật thông tin cá nhân" để biết ví dụ về "thông tin cá nhân nhạy cảm", có giá trị tham chiếu cho các danh mục sinh trắc học cá nhân, sức khỏe y tế và tài khoản tài chính trong bản dự thảo.

3. Ra quyết định tự động là gì và các quy định liên quan có ảnh hưởng đến công ty chúng ta không?

Dự thảo lần đầu tiên đề cập đến việc ra quyết định tự động ở cấp độ pháp lý và mang lại nhiều ý nghĩa phong phú, khiến hầu hết tất cả các công ty sử dụng dữ liệu lớn đều phải chịu sự quản lý ở một mức độ nào đó. Cụ thể, ra quyết định tự động là hoạt động sử dụng thông tin cá nhân để tự động phân tích, đánh giá và đưa ra quyết định thông qua chương trình máy tính về thói quen hành vi, sở thích, tình trạng kinh tế, sức khỏe, tín dụng, v.v. của một cá nhân.

"Đặc tả bảo mật thông tin cá nhân" tuân theo các quy tắc GDPR và chỉ ra rằng một trong những đặc điểm của việc ra quyết định tự động là việc ra quyết định phải có khả năng ảnh hưởng đáng kể đến quyền và lợi ích của chủ thể thông tin cá nhân. Ví dụ: các quyết định có thể xác định giới hạn tín dụng và khoản vay cá nhân cũng như sàng lọc phỏng vấn là quyết định tự động; trong khi đề xuất các sản phẩm khác nhau hoặc xếp hạng mặc định trên giao diện người dùng dựa trên tình huống cụ thể của người dùng không phải là quyết định tự động.

Dựa trên đó, các quy định về ra quyết định tự động sẽ ảnh hưởng rộng rãi đến mọi tầng lớp xã hội trong xã hội thông tin, đặc biệt là các kịch bản ứng dụng trí tuệ nhân tạo. Những người tai m88 cần đặc biệt chú ý đến việc tuân thủ quy trình ra quyết định tự động, ví dụ: thông báo cho các cá nhân về sự tồn tại của quy trình ra quyết định tự động, logic vận hành cơ bản và tác động của nó đối với các cá nhân thông qua chính sách quyền riêng tư và các phương tiện khác đảm bảo điều đó thông qua việc kiểm tra thường xuyên; của dữ liệu và thuật toán, v.v. Tính chính xác và phù hợp của dữ liệu cơ bản đối với việc ra quyết định, cũng như khả năng diễn giải và không phân biệt đối xử của các thuật toán ra quyết định bằng cách đóng các tùy chọn, xem xét thủ công, v.v., để ngăn chặn các cá nhân bị can thiệp; hoàn toàn phụ thuộc vào việc ra quyết định của máy tự động.

4. Có rủi ro tuân thủ nào khi tai m88 được tiết lộ không, đặc biệt khi thông tin cá nhân được chính phủ tiết lộ?

Việc tai m88 được cung cấp công khai từ lâu đã được coi là bến đỗ an toàn trong hầu hết các trường hợp, đặc biệt khi thông tin cá nhân được tiết lộ qua các kênh chính thức. Sau Bộ luật Dân sự, dự thảo cũng đặt ra ranh giới cho việc tai m88 bị tiết lộ và còn đi xa hơn.

Bộ luật Dân sự quy định các miễn trừ đối với việc xử lý thông tin cá nhân, bao gồm việc xử lý hợp lý thông tin được tiết lộ bởi chính cá nhân đó hoặc thông tin khác đã được tiết lộ hợp pháp, trừ khi cá nhân đó từ chối rõ ràng hoặc việc xử lý thông tin gây tổn hại đến sự sống còn của họ lợi ích. Dự thảo quy định rằng đối với thông tin cá nhân được tiết lộ, tai m88 thể xử lý thông tin đó trong phạm vi hợp lý liên quan đến mục đích tiết lộ thông tin đó. Tuy nhiên, nếu hoạt động xử lý sẽ có tác động đáng kể đến cá nhân thì cá nhân đó vẫn phải được thông báo. và đạt được sự đồng ý.

Rất lâu trước khi dự thảo được ban hành, tư duy tư pháp liên quan đến vấn đề này đã thay đổi trong thực tiễn tư pháp. Theo báo cáo từ tài khoản công khai "Privacy Guard" do Southern Metropolis Daily điều hành, thẩm phán của Tòa án Internet Bắc Kinh đã nhận thấy rằng trong số việc tái sử dụng dữ liệu của các doanh nghiệp, dữ liệu công cộng là một danh mục quan trọng, bao gồm cả quyền tự tiết lộ của chủ sở hữu quyền và chính phủ. tiết lộ thông tin hoặc tiết lộ tư pháp.

5. Việc cung cấp thông tin cá nhân xuyên biên giới có cần được đánh giá không? Có cần phải có sự đồng ý của cá nhân sau khi đánh giá không?

Dự thảo đặt việc cung cấp thông tin cá nhân xuyên biên giới vào một chương riêng, đủ để thể hiện sự quan tâm của các cấp lập pháp và quản lý. Nói chung, tùy thuộc vào danh tính của chủ thể gửi đi, tai m88 thể phải vượt qua các đánh giá theo quy định hoặc có thể chọn từ các đánh giá theo quy định, chứng nhận của cơ quan chuyên môn và ký kết hợp đồng trong các trường hợp đặc biệt (chẳng hạn như do hỗ trợ tư pháp quốc tế hoặc hành chính. hỗ trợ thực thi pháp luật) Thông tin cá nhân cần được cung cấp ở nước ngoài) sẽ được xử lý theo quy định của pháp luật và các quy định hành chính.

(1) Dự thảo yêu cầu các nhà khai thác cơ sở hạ tầng thông tin quan trọng và người xử lý thông tin cá nhân xử lý lượng thông tin cá nhân do cơ quan không gian mạng quốc gia chỉ định. Nếu thực sự cần xuất thông tin cá nhân ra nước ngoài, họ phải vượt qua cuộc đánh giá an ninh do cơ quan này tổ chức. Cục không gian mạng quốc gia (tức là đánh giá theo quy định). Các quy định này mở rộng phạm vi áp dụng đánh giá an ninh xuyên biên giới tại Điều 37 của Luật An ninh mạng của Cộng hòa Nhân dân Trung Hoa (“Luật An ninh mạng”), ngoài những người vận hành cơ sở hạ tầng thông tin quan trọng, tai m88 một quy mô nhất định. cũng được yêu cầu Tuân thủ; đồng thời, so với "Các biện pháp đánh giá bảo mật việc chuyển thông tin cá nhân ra nước ngoài (Dự thảo lấy ý kiến)", ngưỡng áp dụng cho đánh giá theo quy định đã được nâng lên.

(2) So với đánh giá theo quy định, chứng nhận của các tổ chức chuyên nghiệp hoặc đáp ứng các điều kiện pháp lý khác, việc ký kết hợp đồng với người nhận ở nước ngoài dường như là phương thức thoát ra với ngưỡng thấp nhất. Dự thảo quy định “hợp đồng được ký kết với người nhận ở nước ngoài để quy định quyền và nghĩa vụ của cả hai bên, đồng thời giám sát hoạt động tai m88 của họ để đáp ứng các tiêu chuẩn bảo vệ thông tin cá nhân quy định trong luật này”.

(3) So với GDPR, dự thảo không áp dụng mô hình "xác định mức độ phù hợp" dựa trên quốc gia hoặc khu vực, cũng như không đặt ra các quy tắc riêng cho việc cung cấp xuyên biên giới giữa các thực thể khác nhau trong cùng một nhóm. Chúng tôi hiểu rằng đánh giá khung thường là sản phẩm của việc rút ra kinh nghiệm đánh giá thông qua nhiều đánh giá trường hợp.

6. Dự thảo có những đột phá, đổi mới nào trong việc quy định quyền và nghĩa vụ thông tin cá nhân?

Dự thảo thiết lập hệ thống quyền và nghĩa vụ đối với thông tin cá nhân. Những nội dung này đã được đề cập trong thực tiễn doanh nghiệp nhưng trước đây chưa được quy định đầy đủ ở cấp độ pháp lý.

(1) So với Luật An ninh mạng quy định việc thu thập trái phép thông tin cá nhân vi phạm hợp đồng là điều kiện tiên quyết để các cá nhân thực hiện quyền xóa, dự thảo mở rộng các trường hợp xóa thông tin cá nhân, bao gồm: Thời hạn lưu giữ theo thỏa thuận đã hết hoặc mục đích xử lý đã đạt được và việc xử lý Nhà điều hành ngừng cung cấp sản phẩm hoặc dịch vụ, cá nhân rút lại sự đồng ý, việc tai m88 là bất hợp pháp hoặc vi phạm hợp đồng hoặc các trường hợp pháp lý khác. So sánh GDPR và CCPA, cả hai đều đưa ra một số trường hợp ngoại lệ cần xóa, chẳng hạn như để thực hiện nghĩa vụ pháp lý, duy trì bảo mật hệ thống, bảo vệ kiện tụng, thực hiện quyền tự do ngôn luận cũng như cho nghiên cứu khoa học và các lợi ích công cộng khác.

(2) Ngoài ra, dự thảo yêu cầu người tai m88 phải thông báo cho các bộ phận liên quan khi phát hiện rò rỉ thông tin. Tuy nhiên, nếu có thể tránh được tổn thất do rò rỉ thông tin một cách hiệu quả thì nghĩa vụ thông báo cho cá nhân có thể được miễn. Tuy nhiên, các sự cố bảo mật dữ liệu theo tiêu chuẩn nghiêm ngặt xảy ra hầu như hàng ngày và nghĩa vụ thông báo chung chung mà không có định nghĩa chính xác có thể khiến doanh nghiệp rơi vào tình thế khó xử khi đưa ra quyết định đồng thời tạo gánh nặng không cần thiết cho các bộ xử lý và cơ quan quản lý.

7. Liệu Trung Quốc có thể thực thi quyền tài phán ngoài lãnh thổ đối với các hành vi tai m88 bất hợp pháp trong tương lai không?

Dự thảo cũng sẽ đưa một số hoạt động liên quan đến việc xử lý thông tin cá nhân của các thể nhân trong nước bên ngoài Trung Quốc vào phạm vi quyền tài phán sơ bộ rằng trên thực tế, hoạt động này có thể được so sánh một phần với các nguyên tắc cung cấp hàng hóa hoặc dịch vụ. và các nguyên tắc giám sát theo GDPR. "Với mục đích cung cấp hàng hóa hoặc dịch vụ cho các thể nhân ở Trung Quốc", trên thực tế, có thể xem xét liệu tai m88 "có ý định" cung cấp hàng hóa hoặc dịch vụ cho các cá nhân ở Trung Quốc hay không.

Ngoài việc quy định quyền tài phán ngoài lãnh thổ, dự thảo còn yêu cầu tai m88 nước ngoài tuân theo luật này phải thành lập các cơ quan chuyên môn hoặc đại diện được chỉ định ở quốc gia của tôi và gửi thông tin về các cơ quan hoặc đại diện có liên quan cho cơ quan có thẩm quyền. Điểm khởi đầu phải là thiết lập một điểm khởi đầu cho việc thực thi pháp luật để đảm bảo rằng quyền tài phán ngoài lãnh thổ có thể được thực thi một cách hiệu quả.

8. Chi phí vi phạm pháp luật đối với một chủ thể thông tin cá nhân là bao nhiêu và việc điều tra và trừng phạt các hành vi vi phạm liên quan sẽ nghiêm trọng đến mức nào?

Dự thảo quy định toàn diện về xử phạt hành chính, bồi thường dân sự và trách nhiệm hình sự đối với hành vi xử lý trái phép thông tin cá nhân, đặc biệt là Điều 62 quy định mức phạt cao ngất ngưởng lên tới 50 triệu nhân dân tệ hoặc 5% doanh thu năm trước, tương đương tới 20 triệu nhân dân tệ trong GDPR. Đồng euro hoặc tiêu chuẩn 4% tổng doanh thu toàn cầu trong năm trước tuyên bố quyết tâm của Trung Quốc trong việc tiêu chuẩn hóa việc tai m88.

Rất khó để dự đoán cường độ điều tra và trừng phạt các hoạt động vi phạm pháp luật, nhưng dự thảo đã trao quyền đầy đủ cho các cơ quan thực hiện trách nhiệm bảo vệ thông tin cá nhân để thực thi pháp luật, bao gồm cả khả năng niêm phong các thiết bị, vật dụng có bằng chứng vi phạm pháp luật hoạt động tai m88 hoặc tịch thu. Thu giữ, giam giữ là biện pháp cưỡng chế hành chính, về nguyên tắc chỉ được pháp luật quy định.