Luật Bảo vệ thông tin cá nhân vừa được Trung Quốc thông qua có tác động thế nào?

Luật đầu tiên về bảo vệ thông tin cá nhân của Trung Quốc sẽ có hiệu lực từ tháng 11 tới. Luật này dự kiến sẽ tác động lớn đến các DN nước ngoài đầu tư tại đây.

121-1630892810.jpeg
Trung Quốc đã thiết lập một khuôn khổ quản lý dữ liệu, đưa ra các giới hạn về cách các doanh nghiệp thu thập và sử dụng thông tin cá nhân nhạy cảm. Ảnh: SCMP

Luật Bảo vệ Thông tin Cá nhân (PIPL) của Trung Quốc vừa được thông qua vào ngày 20/8 và sẽ có hiệu lực từ ngày 1/11/2021. Như vậy, các công ty trên thế giới muốn làm ăn ở Trung Quốc và với các đối tác Trung Quốc chỉ còn chưa đầy ba tháng để cập nhật mô hình kinh doanh nhằm đảm bảo tuân thủ luật mới. Với khung thời gian cực kỳ eo hẹp, các công ty này cần phải hành động nhanh chóng.

PIPL chính thức hóa và củng cố các yêu cầu hiện có liên quan đến dữ liệu cá nhân, bao gồm cả việc cần sự đồng ý rõ ràng hoặc riêng biệt đối với việc thu thập và bản địa hóa dữ liệu ở Trung Quốc.

Để đáp ứng các yêu cầu này, có thể các công ty nước ngoài ở Trung Quốc sẽ phải cập nhật mô hình kinh doanh của họ tại nước này, cũng như phương thức hoạt động để đảm bảo tuân thủ luật mới.

Các doanh nghiệp có ứng dụng và trang web thương mại điện tử hướng tới người tiêu dùng hoạt động ở Trung Quốc có thể bị ảnh hưởng nhiều nhất, cùng với các công ty công nghệ cung cấp giải pháp kỹ thuật số.

Luật này đánh dấu nỗ lực pháp lý toàn diện đầu tiên của Trung Quốc nhằm xác định thông tin cá nhân và điều chỉnh việc lưu trữ, chuyển giao và xử lý thông tin cá nhân. Nó có ý nghĩa lớn đối với các công ty dựa vào dữ liệu cho hoạt động của họ ở Trung Quốc.

Việc thực thi luật này sẽ cung cấp nền tảng pháp lý để bảo vệ thông tin cá nhân cho hoạt động của các công ty nước ngoài tại Trung Quốc.

Tuy nhiên, nó cũng có khả năng hạn chế việc truyền thông tin đó qua biên giới, đặc biệt là đối với dữ liệu liên quan đến cơ sở hạ tầng thông tin quan trọng (CII) do ảnh hưởng đến an ninh quốc gia.

Cộng đồng doanh nghiệp quốc tế cần hiểu tác động của luật này đối với hoạt động dữ liệu của họ.

Lấp đầy khoảng trống pháp lý

Trước khi PIPL được thông qua, Trung Quốc không có bất kỳ luật toàn diện nào quy định việc bảo vệ thông tin cá nhân. PIPL đã lấp đầy khoảng trống đó.

Luật này đưa ra định nghĩa chi tiết về “thông tin cá nhân” và làm rõ khái niệm “thông tin cá nhân nhạy cảm”. Hơn nữa, yêu cầu kiểm toán linh hoạt của luật giúp các công ty dễ dàng thực hiện giám sát nội bộ chủ động để tránh các hoạt động tội phạm liên quan đến thông tin cá nhân.

22-1630892933.jpg
Luật Bảo vệ Thông tin Cá nhân (PIPL) của Trung Quốc là một trong những luật cứng rắn nhất thế giới về bảo mật dữ liệu cá nhân. Ảnh: 24hTech

Theo SCMP, PIPL là một trong những luật cứng rắn nhất thế giới về bảo mật dữ liệu cá nhân. Việc ban hành luật này sẽ khiến các công ty công nghệ ở Trung Quốc gặp khó khăn và tốn kém trong việc tiếp cận và sử dụng thông tin của người dùng. 

Theo Tân Hoa xã, luật này nhằm mục đích bảo vệ quyền riêng tư bằng cách cung cấp cho các cá nhân quyền hợp pháp để nói “không” với việc thu thập quá mức dữ liệu do các tổ chức kinh doanh và thậm chí một số cơ quan chính phủ thực hiện.

Hơn nữa, giống như Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu (EU), PIPL nêu rõ rằng thông tin cá nhân được thu thập bởi một công ty phải được giới hạn ở mức tối thiểu cần thiết theo mục đích của dữ liệu. Điều này sẽ làm giảm khả năng lạm dụng thông tin cá nhân trong tương lai.

Theo luật, các công ty xử lý thông tin cá nhân phải tiến hành đánh giá nội bộ một cách thường xuyên và đánh giá mức độ rủi ro khi thông tin đó là nhạy cảm. Các cơ quan quản lý có thẩm quyền ủy quyền kiểm toán các công ty nếu có khiếu nại. Điều này là tất yếu trong bối cảnh gia tăng tình trạng lạm dụng bất hợp pháp thông tin cá nhân, đặc biệt là các hoạt động tội phạm xảy ra do thông tin cá nhân không được bảo vệ và tình trạng thông tin cá nhân bị thu thập tràn lan. Những điều này có thể coi là mặt trái của tốc độ phát triển nhanh chóng của công nghệ.

Tác động của PIPL đối với doanh nghiệp nước ngoài tại Trung Quốc

Việc ban hành luật PIPL đánh dấu nỗ lực mới nhất của Bắc Kinh nhằm điều chỉnh các công ty sở hữu dữ liệu cá nhân.

Các hạn chế của luật đối với việc truyền dữ liệu xuyên biên giới có thể không ảnh hưởng đến các nhà bán lẻ hoạt động trong nước và không có nhu cầu chuyển thông tin ra nước ngoài.

Tuy nhiên, câu chuyện rất khác nhau đối với hai loại công ty: công ty sở hữu lượng lớn thông tin cá nhân và công ty sở hữu thông tin trên cơ sở hạ tầng quan trọng.

Hơn nữa, theo luật này, thẩm quyền của các cơ quan quản lý trong nước thay thế thẩm quyền của các điều ước quốc tế.

PIPL sẽ giúp các công ty nước ngoài tại Trung Quốc – những công ty không có hoạt động chuyển dữ liệu xuyên biên giới – phát triển các chính sách bảo mật phù hợp với luật pháp nước sở tại.

123-1630892965.jpg
PIPL đưa ra định nghĩa chi tiết về "thông tin cá nhân" và làm rõ khái niệm "thông tin cá nhân nhạy cảm". Ảnh: China Briefing

Trước PIPL, việc thiếu luật bảo vệ thông tin cá nhân tại quốc gia này đã dẫn đến việc áp dụng rộng rãi GDPR của EU như một chính sách bảo mật giữa các công ty nước ngoài.

Tuy nhiên, quá trình đưa ra quyết định của GDPR dựa trên các thỏa thuận giữa các quốc gia thành viên EU, điều không được áp dụng trong trường hợp của Trung Quốc.

Vì PIPL sẽ bắt đầu có hiệu lực vào tháng 11/2021, các công ty nước ngoài ở Trung Quốc sẽ cần phải sửa đổi chính sách quyền riêng tư của họ để phù hợp với các yêu cầu của luật mới.

Đối với các công ty sở hữu lượng lớn thông tin cá nhân hoặc dữ liệu trên cơ sở hạ tầng thông tin quan trọng, việc chuyển dữ liệu từ Trung Quốc sang các quốc gia khác sẽ khó khăn hơn do đánh giá bảo mật bắt buộc của Cục Quản lý Không gian mạng Trung Quốc (CAC).

Hiện tại, vẫn chưa rõ kết quả của quá trình đánh giá bảo mật như vậy sẽ như thế nào. Cụ thể, sau khi một công ty hoàn thành đánh giá bảo mật, câu hỏi đặt ra là liệu công ty đó sẽ được cấp phê duyệt một lần cho việc chuyển dữ liệu hay một giấy phép có hiệu lực trong một khoảng thời gian nhất định.

Hơn nữa, Ủy ban Thường vụ Đại hội đại biểu nhân dân toàn quốc Trung Quốc - cơ quan lập pháp của Trung Quốc - gần đây đã quyết định rằng các biện pháp bảo vệ thông tin cá nhân được chuyển ra nước ngoài phải tuân theo các tiêu chuẩn nghiêm ngặt như tiêu chuẩn trong nước. Điều này có nghĩa là nếu một công ty đã tham gia các thỏa thuận tự nguyện trong khu vực, chẳng hạn như Quy tắc về quyền riêng tư xuyên biên giới (CBPR) của APEC, thì công ty đó sẽ không thể chuyển thông tin cá nhân đến bất kỳ quốc gia nào có tiêu chuẩn thấp hơn về bảo vệ thông tin cá nhân vì CAC sẽ không phê duyệt một sự chuyển giao thông tin như vậy.

24-1630892994.jpeg
PIPL sẽ cung cấp nền tảng pháp lý để bảo vệ thông tin cá nhân trong hoạt động của các công ty nước ngoài tại Trung Quốc. Ảnh: The Diplomat

Có thể nói, PIPL tạo ra một thế giới mới về quản lý dữ liệu cá nhân cho tất cả các công ty nước ngoài làm ăn tại Trung Quốc hoặc với đối tác Trung Quốc.

Thời điểm 1/11/2021 đang gần kề. Do đó, các doanh nghiệp sẽ cần phải hành động nhanh chóng để giải quyết các vấn đề về quản lý dữ liệu của họ ở Trung Quốc trước thời hạn này.

Theo nguoiduatin.vn

Nguồn bài viết: https://www.nguoiduatin.vn/luat-bao-ve-thong-tin-ca-nhan-cua-trung-quoc-co-tac-dong-the-nao-a526515.html

Bạn đọc đặt tạp chí Pháp lý dài hạn vui lòng để lại thông tin