PGS.TS. Nguyễn Văn Hậu
Học viện Hành chính Quốc gia
(Quanlynhanuoc.vn) – Mặc dù vẫn chậm hơn so với EU và Mỹ về bảo vệ dữ liệu, Trung Quốc đã chứng kiến sự phát triển nhanh chóng trong hệ thống pháp luật bảo vệ dữ liệu cá nhân. Các nhà lập pháp Trung Quốc gần đây đã áp dụng một số quy định pháp lý để chống lại tình trạng lạm dụng dữ liệu ngày càng tăng ở thời đại thông tin dựa trên các nguồn pháp lý có liên quan trên toàn thế giới, đáng chú ý nhất là Quy định chung về bảo vệ dữ liệu của EU (GDPR).
Từ khóa: Quyền riêng tư dữ liệu, bảo mật dữ liệu, xử lý dữ liệu.
1. Khung pháp lý về xử lý dữ liệu
Khung pháp lý của Trung Quốc trong lĩnh vực bảo vệ dữ liệu ngày nay rất phức tạp, đa dạng và nhiều tầng. Pháp luật liên quan được định nghĩa là luật, quy định, quy tắc và các văn bản ràng buộc khác. Pháp luật ở cấp quốc gia được ưu tiên, pháp luật về quyền riêng tư cấp địa phương ở các khu vực hành chính cấp tỉnh của Trung Quốc phải luôn tuân thủ luật pháp quốc gia, mặc dù luật pháp quốc gia có thể ban hành các quy định chi tiết hơn chỉ áp dụng trong các khu vực tương ứng.
Hiện tại, các nền tảng cung cấp nguồn lực cộng đồng chưa được đề cập rõ ràng trong bất kỳ quy định pháp luật liên quan nào. Tuy nhiên, điều này không có nghĩa là các quy định hiện hành không áp dụng cho các công ty nền tảng mà các điều khoản nằm trong phạm vi của các đối tượng được quản lý hợp pháp, như: “người xử lý thông tin cá nhân” theo PIPL, “nhà điều hành mạng” theo Luật An ninh mạng hoặc thậm chí rộng hơn là “tổ chức dựa vào việc truy cập dữ liệu cá nhân của người khác” như quy định tại Bộ luật Dân sự.
Đầu tiên, Bộ luật Dân sự được ban hành và có hiệu lực năm 2021 có một chương riêng với tiêu đề “Quyền riêng tư và bảo vệ dữ liệu cá nhân” và luật thứ hai đóng vai trò trung tâm đối với quyền riêng tư dữ liệu là Luật Bảo vệ quyền và lợi ích của người tiêu dùng (CPL), bao gồm các điều khoản bảo vệ thông tin người tiêu dùng. Luật thứ ba có vai trò trọng tâm đối với quyền riêng tư dữ liệu là Luật Thương mại điện tử (ECL) để bảo vệ quyền và lợi ích của mọi người tham gia thương mại điện tử, quản lý “các doanh nghiệp thương mại điện tử” dựa trên internet, bao gồm cả “các doanh nghiệp nền tảng thương mại điện tử”. Theo đó, các nền tảng được yêu cầu tuân thủ các điều khoản bảo vệ thông tin cá nhân của bất kỳ luật hoặc quy định nào khi thu thập dữ liệu cá nhân từ người dùng.
Ngoài ra, còn có ba luật bảo vệ dữ liệu toàn diện và chuyên biệt, đó là:
(1) Luật An ninh mạng (CSL) năm 2016 là luật đầu tiên quy định toàn diện về an ninh dữ liệu không gian mạng ở Trung Quốc với mục đích bảo đảm an ninh mạng, bảo vệ chủ quyền không gian mạng, an ninh quốc gia và lợi ích công cộng, bảo vệ quyền và lợi ích hợp pháp của công dân, pháp nhân và các tổ chức khác, đồng thời thúc đẩy sự phát triển lành mạnh của thông tin hóa kinh tế và xã hội.
(2) Luật Bảo mật dữ liệu (DSL) năm 2021 quy định việc xử lý dữ liệu, bảo đảm an ninh dữ liệu, thúc đẩy phát triển và khai thác dữ liệu, bảo vệ quyền và lợi ích hợp pháp của các cá nhân và tổ chức, đồng thời bảo vệ chủ quyền quốc gia, an ninh và lợi ích phát triển.
(3) Luật Bảo vệ thông tin cá nhân (PIPL) được ban hành và có hiệu lực năm 2021. PIPL là luật bảo vệ dữ liệu thống nhất, toàn diện và có hệ thống đầu tiên ở Trung Quốc và đánh dấu việc thiết lập các nguyên tắc cơ bản. khung pháp lý trong lĩnh vực bảo vệ thông tin cá nhân. PIPL cấm “bất kỳ tổ chức hoặc cá nhân” xâm phạm quyền và lợi ích thông tin của thể nhân. PIPL là luật bảo mật dữ liệu toàn diện và phù hợp nhất điều chỉnh các nền tảng cung cấp dịch vụ cộng đồng ở Trung Quốc, mặc dù các điều khoản bảo vệ dữ liệu cũng có thể được tìm thấy trong các nguồn pháp lý khác.
2. Bảo mật dữ liệu
Bảo mật dữ liệu có mối liên hệ chặt chẽ với quyền riêng tư dữ liệu, mặc dù về cơ bản chúng là hai khái niệm khác nhau. Bảo mật dữ liệu chủ yếu đề cập đến việc bảo vệ dữ liệu khỏi những truy cập, sửa đổi hoặc người dùng trái phép. Nếu dữ liệu được thu thập bởi các nền tảng không được bảo vệ tốt trước các cuộc tấn công mạng thì quyền riêng tư của chủ thể dữ liệu không thể được bảo đảm.
Với tư cách là “người xử lý thông tin cá nhân”, PIPL quy định các nền tảng cung cấp dịch vụ cộng đồng có nghĩa vụ “thực hiện các biện pháp cần thiết để bảo đảm tính bảo mật của thông tin cá nhân đã được xử lý” và “ngăn chặn việc truy cập, rò rỉ, thay đổi và làm mất thông tin cá nhân trái phép”. Ngoài ra, CSL cấm các nền tảng internet – được coi là các nhà khai thác mạng theo quy định của CSL – tiết lộ, thao túng hoặc tiêu hủy dữ liệu cá nhân đã thu thập. Trong trường hợp thông tin cá nhân đã hoặc có khả năng bị tiết lộ, bị phá hủy hoặc bị mất, các nền tảng cung cấp nguồn lực cộng đồng phải khắc phục tình trạng này ngay lập tức, thông báo kịp thời cho người dùng và báo cáo cho các bộ phận có thẩm quyền. Còn DSL là luật thống nhất và toàn diện để bảo vệ an ninh dữ liệu và có một chương độc lập quy định nghĩa vụ bảo vệ an ninh dữ liệu của bộ xử lý dữ liệu.
Các biện pháp cụ thể mà các công ty nền tảng thực hiện để bảo đảm an ninh dữ liệu có thể được chia thành các biện pháp kỹ thuật và biện pháp quản lý, bao gồm: mã hóa dữ liệu và huỷ nhận dạng, thiết kế hệ thống quản lý nội bộ và quy trình vận hành, thực hiện quản lý thông tin cá nhân theo phân loại, xác định thẩm quyền điều hành, xử lý thông tin cá nhân và định kỳ tiến hành giáo dục và đào tạo về an ninh mạng, xây dựng và tổ chức thực hiện các kế hoạch khẩn cấp cho sự cố an ninh mạng liên quan đến thông tin cá nhân (quy định của PIPL).
3. Bảo vệ thông tin nhận dạng cá nhân và dữ liệu nhạy cảm
Dữ liệu cá nhân là thông tin trực tiếp hoặc gián tiếp nhận dạng một thể nhân cụ thể. Định nghĩa về dữ liệu cá nhân có thể được tìm thấy không chỉ trong PIPL mà còn trong một số điều luật trước đó. PIPL định nghĩa thông tin cá nhân là “tất cả các loại thông tin nhận dạng hoặc có thể nhận dạng, được ghi lại bằng điện tử hoặc bằng phương tiện khác nhưng không bao gồm thông tin ẩn danh”. Định nghĩa này gần giống với định nghĩa theo CSL được thông qua năm 2016, ngoại trừ hai khía cạnh: (1) CSL không đề cập cụ thể thông tin ẩn danh được miễn bảo vệ. (2) Thông tin nhận dạng cá nhân có sẵn trong CSL, bao gồm: tên, ngày sinh, số nhận dạng, sinh trắc học, địa chỉ và số điện thoại. Ngoài ra, Bộ luật Dân sự cũng liệt kê địa chỉ email, thông tin sức khỏe và theo dõi vị trí là thông tin nhận dạng cá nhân.
PIPL quy định cụ thể, dữ liệu cá nhân bị rò rỉ hoặc sử dụng bất hợp pháp, có thể dễ dàng dẫn đến tổn hại nhân phẩm hoặc gây thiệt hại cho người hoặc tài sản của một cá nhân, bao gồm: thông tin về nhận dạng sinh trắc học, tín ngưỡng tôn giáo, danh tính cụ thể và dữ liệu y tế, chăm sóc sức khỏe, tài khoản tài chính và theo dõi vị trí cũng như dữ liệu cá nhân của trẻ vị thành niên dưới 14 tuổi. Không giống như GDPR, một số thông tin như niềm tin triết học, tư cách thành viên công đoàn hoặc dữ liệu liên quan đến đời sống tình dục của một cá nhân không được liệt kê rõ ràng là dữ liệu cá nhân nhạy cảm trong PIPL. Ngược lại, các ví dụ về dữ liệu cá nhân nhạy cảm như “tài khoản tài chính” và “theo dõi vị trí” được tìm thấy trong luật pháp Trung Quốc nhưng không có trong GDPR. Nói chung, dữ liệu cá nhân nhạy cảm được bảo vệ nghiêm ngặt hơn. Theo PIPL, các doanh nghiệp nền tảng cung cấp dịch vụ cộng đồng với tư cách là người xử lý thông tin cá nhân chỉ được phép xử lý dữ liệu cá nhân nhạy cảm cho các mục đích cụ thể khi thực sự cần thiết và khi có các biện pháp bảo vệ nghiêm ngặt.
Thuật ngữ “dữ liệu quan trọng” không được đề cập trong GDPR. CSL yêu cầu các công ty nền tảng phải bảo mật rõ ràng dữ liệu quan trọng mà họ thu thập. Các cơ quan có thẩm quyền liên quan sẽ xây dựng danh mục dữ liệu quan trọng và tăng cường bảo vệ dữ liệu đó. Tuy nhiên, không có định nghĩa về dữ liệu quan trọng trong các luật này. Nghĩa vụ của các nền tảng về bảo vệ dữ liệu, bao gồm: thu thập, lưu trữ, xử lý, truyền tải, cung cấp, tiết lộ, xóa,…thông tin cá nhân (PIPL).
4. Nguyên tắc cơ bản của xử lý dữ liệu
Các nền tảng cung cấp nguồn lực cộng đồng với tư cách là người xử lý thông tin cá nhân phải tuân thủ một số nguyên tắc cơ bản về xử lý dữ liệu. Những nguyên tắc này hiện được đặt ra chủ yếu trong PIPL. Các nguyên tắc của PIPL nhìn chung tương tự như các nguyên tắc của GDPR. Đầu tiên, các nền tảng cung cấp dịch vụ cộng đồng phải tuân theo “các nguyên tắc hợp pháp, hợp lý, cần thiết và đáng tin cậy” để xử lý dữ liệu cá nhân và không được sử dụng các phương pháp có thể bị coi là “gây hiểu lầm, lừa đảo hoặc cưỡng bức”.
Nguyên tắc giới hạn mục đích cũng được áp dụng trong PIPL. Việc xử lý thông tin cá nhân phải “có mục đích rõ ràng và hợp lý, liên quan trực tiếp đến mục đích đó và sử dụng các phương tiện ít ảnh hưởng đến quyền và lợi ích của cá nhân nhất có thể”. Nguyên tắc này không có trong các luật như CSL hay Bộ luật Dân sự.
Tuy nhiên, ở một mức độ nhất định, nguyên tắc cần thiết có thể đã bao gồm yêu cầu giới hạn mục đích. Ngoài ra, nguyên tắc giảm thiểu dữ liệu được nêu trong PIPL. Việc thu thập dữ liệu cá nhân phải “được giới hạn ở mức tối thiểu cần thiết để đạt được mục đích xử lý và không được thu thập dữ liệu cá nhân quá mức”.
Các nguyên tắc công khai, minh bạch cũng phải được các nhà xử lý dữ liệu xem xét. Do đó, các nền tảng cung cấp nguồn lực cộng đồng có nghĩa vụ tiết lộ các quy tắc quản lý việc xử lý dữ liệu cá nhân và làm rõ mục đích, phương pháp và phạm vi xử lý. Những nguyên tắc này dựa trên quyền được cung cấp thông tin của chủ thể dữ liệu. Theo đó, người dùng nền tảng có quyền biết các hoạt động xử lý thông tin cá nhân của họ và quyết định chấp nhận hoặc từ chối xử lý. Các yêu cầu cụ thể về nguyên tắc công khai, minh bạch cũng có thể được quy định tại CSL và Bộ luật Dân sự.
Nguyên tắc về tính chính xác của dữ liệu cũng rất quan trọng đối với việc xử lý dữ liệu. Người xử lý dữ liệu phải bảo đảm chất lượng dữ liệu cá nhân nhằm tránh những tác động tiêu cực đến quyền và lợi ích của chủ thể dữ liệu do thông tin cá nhân không chính xác hoặc không đầy đủ. Nếu người dùng nền tảng với tư cách là chủ thể dữ liệu xác định rằng thông tin họ cung cấp không chính xác hoặc không đầy đủ, họ có quyền yêu cầu nền tảng chỉnh sửa và bổ sung kịp thời. Tương tự, theo Bộ luật Dân sự, thể nhân có quyền yêu cầu người xử lý dữ liệu thực hiện các biện pháp cần thiết để sửa hoặc xóa thông tin không chính xác của họ.
Các nền tảng cung cấp nguồn lực cộng đồng cũng phải tính đến nguyên tắc giới hạn lưu trữ. PIPL quy định “thời gian lưu giữ dữ liệu cá nhân sẽ là khoảng thời gian ngắn nhất cần thiết để đạt được mục đích xử lý trừ khi luật pháp có quy định khác”. Mặc dù PIPL không đưa ra thời hạn cụ thể nhưng liệt kê một số điều kiện mà theo đó các công ty nền tảng có nghĩa vụ xóa dữ liệu liên quan. Ngược lại, vì lý do bảo mật dữ liệu, trong một số trường hợp nhất định, dữ liệu cá nhân có thể cần phải có sẵn trong một khoảng thời gian tối thiểu. Ví dụ: CSL yêu cầu các công ty nền tảng lưu giữ các tệp nhật ký mà họ thu thập trong tối thiểu 6 tháng.
Người xử lý dữ liệu phải thực hiện các biện pháp cần thiết như mã hóa và hủy nhận dạng để bảo đảm an toàn dữ liệu và bảo vệ thông tin cá nhân khỏi bị truy cập trái phép, rò rỉ, thay đổi và mất mát. Những yêu cầu như vậy cũng có thể được tìm thấy trong các luật trước PIPL. Ví dụ: cả CSL và ECL đều quy định rõ “tính toàn vẹn, bảo mật và sẵn có” của dữ liệu mạng phải được duy trì và các nền tảng có nghĩa vụ ngăn chặn thông tin cá nhân do chúng xử lý bị lộ, tiết lộ, thao túng hoặc tiêu hủy quá mức.
Mặc dù các nguyên tắc cơ bản về xử lý dữ liệu được đề cập ở trên theo PIPL tương ứng với các nguyên tắc của GDPR, PIPL của Trung Quốc không duy trì các khái niệm về quyền riêng tư theo thiết kế hoặc quyền riêng tư theo mặc định như trong GDPR.
5. Sự đồng ý là tiêu chuẩn hợp pháp cho việc xử lý dữ liệu
Giống như trong GDPR, quy tắc chấp thuận có hiểu biết là trọng tâm trong luật bảo vệ dữ liệu của Trung Quốc. Tầm quan trọng của sự đồng ý của chủ thể dữ liệu được thể hiện rõ ràng trong nhiều điều khoản của PIPL. Mặc dù các điều khoản liên quan không đề cập cụ thể đến các nền tảng cung cấp nguồn lực cộng đồng nhưng chúng có thể áp dụng khi các nền tảng thu thập và xử lý dữ liệu cá nhân của người dùng và do đó là “người xử lý thông tin cá nhân” trong phạm vi PIPL.
Các nền tảng cung cấp nguồn lực cộng đồng chỉ được phép xử lý dữ liệu cá nhân của người dùng nếu họ nhận được sự đồng ý của họ hoặc đáp ứng một số điều kiện đặc biệt nhất định. Theo PIPL, các điều kiện này bao gồm:
1. Việc xử lý dữ liệu cá nhân là cần thiết để ký kết hoặc thực hiện hợp đồng mà người đó là một bên hoặc cần thiết để thực hiện quản lý nguồn nhân lực theo các quy định lao động được xây dựng hợp pháp và tập thể được ký kết hợp pháp thỏa thuận;
2. Điều đó là cần thiết để thực hiện bất kỳ nghĩa vụ hoặc nghĩa vụ pháp lý nào;
3. Khi cần thiết để ứng phó với một sự cố sức khỏe cộng đồng hoặc để bảo vệ sự an toàn tính mạng, sức khỏe và tài sản của các cá nhân trong trường hợp khẩn cấp;
4. Xử lý dữ liệu cá nhân ở mức độ hợp lý để thực hiện các hành động vì lợi ích công cộng, chẳng hạn như đưa tin và theo dõi dư luận;
5. Về mức độ xử lý thích hợp dữ liệu cá nhân được tiết lộ bởi các cá nhân hoặc đã được tiết lộ hợp pháp theo luật này;
6. Các tình huống khác do pháp luật hoặc quy định hành chính quy định.
Theo đó, sự đồng ý của những người liên quan và các trường hợp pháp lý được liệt kê là cơ sở pháp lý để các nền tảng xử lý dữ liệu cá nhân của người dùng.
Không giống như GDPR, PIPL không cung cấp định nghĩa về thuật ngữ “sự đồng ý”. Tuy nhiên, nó yêu cầu sự đồng ý của các chủ thể dữ liệu được cung cấp đầy đủ thông tin phải là sự đồng ý tự nguyện và rõ ràng. Nếu mục đích hoặc phương pháp xử lý dữ liệu cá nhân hoặc loại dữ liệu cá nhân cần xử lý thay đổi, các nền tảng lại phải xin phép chủ thể dữ liệu.
Chủ thể dữ liệu cũng có quyền rút lại sự đồng ý của mình một cách thuận tiện và đơn giản. Trừ khi việc xử lý dữ liệu cá nhân là cần thiết để cung cấp dịch vụ, các nền tảng không được từ chối cung cấp dịch vụ với lý do chủ thể dữ liệu không đồng ý xử lý dữ liệu cá nhân của họ hoặc rút lại sự đồng ý của họ. Ví dụ: trong trường hợp sáp nhập, chia tách, giải thể hoặc phá sản, dữ liệu cá nhân của người dùng phải được chuyển cho bên thứ ba và bên nhận có nghĩa vụ tiếp tục thực hiện nghĩa vụ của công ty nền tảng. Nếu người nhận thay đổi mục đích hoặc phương pháp xử lý dữ liệu ban đầu thì phải lấy lại sự đồng ý của chủ thể dữ liệu.
Không giống như GDPR, sự đồng ý riêng biệt là một thuật ngữ quan trọng trong PIPL, mặc dù không có định nghĩa pháp lý nào cho nó. Theo PIPL, có năm tình huống trong đó người xử lý thông tin cá nhân cần phải có được sự đồng ý riêng từ chủ thể dữ liệu. Trong số đó có 4 trường hợp liên quan đến nền tảng nguồn lực cộng đồng:
1. Nếu các nền tảng chuyển dữ liệu cá nhân mà họ xử lý cho những người xử lý dữ liệu cá nhân khác, họ phải nhận được sự đồng ý riêng của chủ thể dữ liệu.
2. Các nền tảng không được phép xuất bản dữ liệu cá nhân trừ khi có được sự đồng ý riêng của người dùng.
3. Việc xử lý dữ liệu cá nhân nhạy cảm phải dựa trên sự đồng ý riêng của chủ thể dữ liệu.
4. Nếu các nền tảng chuyển dữ liệu cá nhân cho người nhận nước ngoài bên ngoài lãnh thổ Trung Quốc, họ phải có được sự đồng ý riêng từ người dùng của mình.
6. Ra quyết định tự động
Rủi ro về thuật toán đã tồn tại trong thực tế ngay cả trước khi PIPL được thông qua. Ví dụ: việc ra quyết định tự động có thể đã vi phạm quyền riêng tư của người dùng nền tảng. Để giải quyết thực tế là các thuật toán được sử dụng bởi một nền tảng đang thay thế việc ra quyết định của con người và gây áp lực lên họ dẫn đến các vấn đề về quyền tự chủ của con người và che giấu khả năng phạm tội của nền tảng, PIPL hạn chế việc ra quyết định tự động vì các nền tảng này là nơi xử lý thông tin cá nhân do PIPL quản lý.
Các nền tảng sử dụng dữ liệu cá nhân để ra quyết định tự động phải bảo đảm tính minh bạch trong quá trình ra quyết định để kết quả được công bằng và bình đẳng, đồng thời không được phân biệt đối xử một cách vô lý giữa các cá nhân về các điều khoản giao dịch như giá cả. Với điều khoản này, việc phân biệt giá dựa trên thuật toán có thể bị chống lại, đặc biệt vì việc định giá khác nhau cho người tiêu dùng cho cùng một sản phẩm hoặc dịch vụ đã là một hiện tượng kinh tế phổ biến trên thực tế ở Trung Quốc. Ví dụ: có một vụ bê bối liên quan đến nền tảng giao đồ ăn Meituan của Trung Quốc, nền tảng này đã tính phí giao hàng cho các thành viên trả tiền cao hơn so với những người dùng miễn phí.
Khi các quyết định ảnh hưởng đáng kể đến quyền và lợi ích của người dùng nền tảng được đưa ra thông qua quá trình ra quyết định tự động, người dùng có quyền yêu cầu nền tảng giải thích và có quyền phản đối các quyết định do nền tảng đưa ra chỉ thông qua thuật toán. Khi việc cung cấp thông tin và tiếp thị thương mại được thực hiện thông qua việc ra quyết định dựa trên thuật toán, các nền tảng cũng có nghĩa vụ cung cấp cho người dùng các tùy chọn không nhắm mục tiêu đến đặc điểm cá nhân cụ thể của họ hoặc cung cấp các phương tiện chọn không tham gia thuận tiện.
7. Quyền của chủ thể dữ liệu
Quyền của chủ thể dữ liệu được nêu rõ ràng không chỉ trong PIPL mà còn trong các luật như CSL và Bộ luật Dân sự. So với các công cụ pháp lý trước đây, PIPL bổ sung một số quyền mới như quyền di chuyển dữ liệu và trình bày các quyền của chủ thể dữ liệu một cách toàn diện và có hệ thống hơn. PIPL có một chương độc lập “Quyền của cá nhân liên quan đến việc xử lý dữ liệu cá nhân”. Nhìn chung, các quyền của chủ thể dữ liệu cụ thể do PIPL cung cấp rất giống với quyền của GDPR, mặc dù cách diễn đạt hơi khác.
Người dùng nền tảng với tư cách là chủ thể dữ liệu thường có quyền biết về việc xử lý dữ liệu cá nhân của họ và đưa ra quyết định về việc đó, đồng thời có quyền hạn chế hoặc từ chối việc người khác xử lý dữ liệu của họ. Đặc biệt, PIPL yêu cầu các nền tảng phải thông báo cho chủ thể dữ liệu một cách “trung thực, chính xác và đầy đủ” về các vấn đề như tên của tổ chức xử lý, mục đích và phương pháp xử lý dữ liệu cá nhân, loại dữ liệu cá nhân được xử lý và khoảng thời gian xử lý, dữ liệu nào sẽ được lưu trữ trước khi nó có thể được xử lý. Thông báo phải được trình bày rõ rang bằng ngôn ngữ rõ ràng và dễ hiểu. Nếu các nền tảng thu hút sự chú ý đến những vấn đề như vậy bằng cách xây dựng các quy tắc xử lý dữ liệu cá nhân thì các quy tắc đó phải được công khai, dễ đọc và lưu trữ. Theo đó, các nền tảng cung cấp dịch vụ cộng đồng được yêu cầu đăng tuyên bố về quyền riêng tư của họ nếu có, trên trang web của họ để bảo đảm khách truy cập hoặc người dùng trang web có thể biết dữ liệu nào đang được xử lý và cách thức cũng như có thể chọn tham gia hoặc từ chối xử lý dữ liệu của họ.
Người dùng nền tảng cũng có quyền truy cập và sao chép dữ liệu cá nhân của họ từ các nền tảng, ngoại trừ một số trường hợp đặc biệt. Nếu người dùng thực hiện quyền này, các nền tảng phải cung cấp cho họ dữ liệu liên quan một cách kịp thời.
Quyền chuyển giao dữ liệu được quy định trong PIPL nêu rõ: “khi các cá nhân yêu cầu chuyển dữ liệu cá nhân đến những người xử lý thông tin cá nhân khác do họ chỉ định và đáp ứng các điều kiện, thì người xử lý thông tin cá nhân phải cung cấp các kênh để chuyển”. Ngược lại với quyền di chuyển dữ liệu theo GDPR, quyền tương tự trong PIPL mang tính tổng quát hơn nhiều ở hai khía cạnh. Đầu tiên, PIPL không đề cập rằng dữ liệu cá nhân được yêu cầu phải ở “định dạng có cấu trúc, được sử dụng phổ biến và có thể đọc được bằng máy”. Thứ hai, PIPL không nêu rõ các trường hợp ngoại lệ, như theo GDPR, trong đó việc thực hiện quyền này có thể bị hạn chế, chẳng hạn, như khi việc chuyển giao không khả thi về mặt kỹ thuật hoặc các quyền và tự do của người khác bị ảnh hưởng. Thay vào đó, PIPL tuyên bố rằng “các điều kiện do cơ quan thông tin Internet của nhà nước cung cấp” phải được đáp ứng.
Các nhà lập pháp Trung Quốc có xu hướng để các cơ quan có thẩm quyền xây dựng các quy định, trong đó có thể bao gồm các điều kiện cụ thể về quyền di chuyển dữ liệu. Trên thực tế, trước khi PIPL được thông qua, một số học giả pháp lý Trung Quốc đã yêu cầu Luật Bảo vệ dữ liệu của Trung Quốc không trùng lặp với quyền di chuyển dữ liệu theo GDPR.
Người dùng nền tảng cũng có quyền sửa chữa nếu người dùng thấy thông tin cá nhân của mình không chính xác hoặc không đầy đủ, họ có quyền yêu cầu các nền tảng sửa hoặc bổ sung thông tin đó. Khi người dùng thực hiện quyền này, các nền tảng có nghĩa vụ kiểm tra dữ liệu cá nhân và sửa đổi hoặc bổ sung kịp thời. Quyền sửa chữa cũng có thể được tìm thấy trong CSL và Bộ luật Dân sự.
Một quyền quan trọng khác của người dùng là quyền xóa dữ liệu. Quyền này được gọi trong GDPR là quyền xóa và quyền được lãng quên. Trước khi ban hành PIPL, quyền như vậy đã được các học giả pháp lý ủng hộ, mặc dù lưu ý không thể xóa hoàn toàn dữ liệu cá nhân một khi nó đã bị tiết lộ. PIPL quy định một số trường hợp, trong đó các nền tảng có nghĩa vụ chủ động xóa dữ liệu cá nhân, như: mục đích xử lý đã đạt được hoặc không thể đạt được hoặc dữ liệu không còn cần thiết để đạt được mục đích xử lý; nền tảng ngừng cung cấp dịch vụ hoặc thời gian lưu giữ đã hết; người dùng rút lại sự đồng ý của họ; nền tảng vi phạm pháp luật, quy định hành chính hoặc thỏa thuận khi xử lý dữ liệu cá nhân; các tình huống khác theo quy định của pháp luật hoặc quy định hành chính.
Nếu nền tảng không xóa thông tin trong trường hợp đã nêu, người dùng của họ có quyền yêu cầu xóa thông tin đó. So với các quy định có sẵn trước PIPL, nội dung của quyền xóa dữ liệu theo PIPL đã được mở rộng. PIPL công nhận quyền của người dùng được yêu cầu các nền tảng giải thích các quy tắc của họ về việc xử lý thông tin cá nhân, chẳng hạn như trong điều khoản về quyền riêng tư của họ. Nếu người dùng nền tảng đã qua đời, người thân của họ có thể thực hiện các quyền truy cập, sao chép, chỉnh sửa và xóa dữ liệu cá nhân của người đã qua đời, trừ khi người dùng đã qua đời có thỏa thuận khác trong suốt cuộc đời của người đó.
Cuối cùng, người dùng nền tảng có quyền theo thủ tục để thực hiện quyền của mình và yêu cầu bồi thường khi quyền của họ bị vi phạm. PIPL yêu cầu các nền tảng thiết lập các cơ chế thuận tiện cho việc chấp nhận và giải quyết các yêu cầu từ người dùng để thực hiện các quyền của họ. Nếu nền tảng từ chối yêu cầu thực hiện quyền của người dùng, họ phải giải thích lý do và người dùng nền tảng có thể kiện ra tòa để phản đối việc từ chối đó.
PIPL làm rõ thêm nội dung đánh giá tác động của việc bảo vệ dữ liệu. Việc này phải bao gồm 3 khía cạnh: đánh giá xem mục đích và phương pháp xử lý dữ liệu cá nhân có hợp pháp, đầy đủ và cần thiết hay không; những hệ lụy và rủi ro về an ninh đối với quyền và lợi ích của cá nhân; các biện pháp bảo vệ được sử dụng có hợp pháp, hiệu quả và phù hợp với mức độ rủi ro hay không. Báo cáo đánh giá tác động bảo vệ dữ liệu cá nhân và hồ sơ xử lý phải được lưu trữ ít nhất ba năm.
8. Giám sát bảo vệ dữ liệu nội bộ và bên ngoài
Với tư cách là người xử lý thông tin cá nhân, các công ty nền tảng có nghĩa vụ tự điều chỉnh để bảo đảm quyền riêng tư dữ liệu của người dùng. Khi các nền tảng xử lý dữ liệu cá nhân trong phạm vi được chỉ định, họ phải chỉ định một người chịu trách nhiệm bảo vệ dữ liệu cá nhân chịu trách nhiệm giám sát việc xử lý dữ liệu cá nhân và mọi biện pháp bảo vệ được thực hiện.
Thông tin liên hệ của người được chỉ định phải được công khai và tên cũng như thông tin liên hệ của họ phải được thông báo cho cơ quan có thẩm quyền chịu trách nhiệm bảo vệ dữ liệu cá nhân. Do đó, người được chỉ định rất giống với nhân viên bảo vệ dữ liệu theo GDPR. Hơn nữa, các nền tảng nước ngoài xử lý dữ liệu cá nhân trong lãnh thổ Trung Quốc phải thành lập các tổ chức đặc biệt hoặc đại diện được chỉ định ở Trung Quốc chịu trách nhiệm xử lý các vấn đề về quyền riêng tư và báo cáo tên cũng như thông tin liên hệ của họ cho các cơ quan hữu quan. Cuối cùng, PIPL yêu cầu các nền tảng phải thường xuyên kiểm tra xem hoạt động xử lý dữ liệu cá nhân của họ có tuân thủ luật pháp và quy định hành chính hay không.
Ngoài việc giám sát nội bộ, cần phải có giám sát bên ngoài để bảo vệ quyền riêng tư của chủ thể dữ liệu. Nhìn chung, các cơ quan hành chính của chính phủ đóng vai trò quan trọng trong việc bảo vệ dữ liệu với tư cách là cơ quan giám sát. PIPL có một chương riêng có tựa đề “Các cơ quan thực hiện nghĩa vụ bảo vệ dữ liệu cá nhân”.
PIPL chỉ rõ “các cơ quan thực hiện nhiệm vụ bảo vệ thông tin cá nhân” đề cập đến điều gì. Tất cả các bộ phận này có nghĩa vụ thực hiện các nhiệm vụ như thực hiện quan hệ công chúng và giáo dục về bảo vệ dữ liệu cá nhân, chỉ đạo và giám sát các nền tảng để bảo vệ thông tin cá nhân, tiếp nhận và xử lý các khiếu nại và báo cáo liên quan đến bảo vệ thông tin cá nhân, tổ chức đánh giá bảo vệ dữ liệu cá nhân. và công bố kết quả cũng như điều tra và đấu tranh với các hoạt động xử lý dữ liệu cá nhân bất hợp pháp.
Đặc biệt, Văn phòng thông tin internet quốc gia chịu trách nhiệm lập kế hoạch và điều phối các bộ phận liên quan để thúc đẩy công tác bảo vệ thông tin cá nhân, chẳng hạn như xây dựng các quy tắc và tiêu chuẩn cụ thể để bảo vệ thông tin cá nhân. PIPL trao quyền cho các cơ quan quản lý thực hiện một số hành động nhất định để thực hiện nhiệm vụ của mình, bao gồm: thẩm vấn các bên liên quan và điều tra các trường hợp liên quan đến việc xử lý dữ liệu cá nhân; truy cập và sao chép hợp đồng, hồ sơ, sổ sách kinh doanh và các tài liệu liên quan khác liên quan đến việc xử lý dữ liệu cá nhân; tiến hành kiểm tra và điều tra tại chỗ các hoạt động xử lý thông tin cá nhân bị nghi ngờ là bất hợp pháp; kiểm tra thiết bị và đồ vật liên quan đến hoạt động xử lý dữ liệu cá nhân và đối với thiết bị và đồ vật có bằng chứng sử dụng vào các hoạt động xử lý dữ liệu cá nhân bất hợp pháp, lập báo cáo bằng văn bản cho người phụ trách bộ phận và sau khi được phê duyệt, bảo đảm rằng tài liệu được niêm phong hoặc tịch thu.
Nền tảng phải cung cấp sự hỗ trợ và hợp tác, thay vì ngăn cản hoặc cản trở cơ quan có thẩm quyền hoàn thành nhiệm vụ của mình. Nếu các bộ phận liên quan xác định việc xử lý thông tin cá nhân có rủi ro tương đối cao hoặc đã xảy ra sự cố liên quan đến bảo mật dữ liệu cá nhân, họ có thể nói chuyện với người đại diện hợp pháp hoặc người chịu trách nhiệm về nền tảng hoặc yêu cầu nền tảng chỉ định một chuyên gia tiến hành kiểm tra. Để tạo điều kiện thuận lợi cho cơ quan giám sát tiếp nhận khiếu nại hoặc báo cáo về các hoạt động bất hợp pháp liên quan đến việc xử lý dữ liệu cá nhân từ các tổ chức và cá nhân, các cơ quan này phải công bố thông tin liên hệ của họ.
Giống như ở EU, các cơ quan giám sát có cơ hội căn cứ PIPL để thực hiện hành động pháp lý chống lại các hoạt động bất hợp pháp liên quan đến việc xử lý dữ liệu cá nhân. Theo PIPL, nếu các công ty nền tảng cung cấp dịch vụ cộng đồng vi phạm các quy định liên quan khi xử lý dữ liệu cá nhân và gây tổn hại đến quyền và lợi ích của một số lượng lớn cá nhân, các tổ chức được CAC chỉ định có thể đệ đơn kiện lên tòa án.
Cuối cùng, PIPL có khả năng khiến một số nền tảng bị công chúng giám sát. Nếu các nền tảng cung cấp các dịch vụ nền tảng internet quan trọng và có số lượng lớn người dùng hoặc mô hình kinh doanh phức tạp thì họ có nghĩa vụ xuất bản các báo cáo trách nhiệm xã hội thường xuyên về việc bảo vệ dữ liệu cá nhân và chấp nhận sự giám sát của xã hội. Theo đó, các nền tảng cung cấp dịch vụ cộng đồng có liên quan có nghĩa vụ đưa các vấn đề bảo vệ dữ liệu vào báo cáo trách nhiệm xã hội của doanh nghiệp (CSR) hoặc xuất bản các báo cáo CSR bảo vệ dữ liệu độc lập.
9. Biện pháp chế tài
Khi một công ty nền tảng xử lý thông tin cá nhân của người dùng một cách không công bằng, công ty đó sẽ phải chịu trách nhiệm pháp lý về hành động của mình. So với quy định trước đây, PIPL quy định các chế tài chặt chẽ hơn, cụ thể hơn và toàn diện hơn.
Có thể phân biệt ba loại trách nhiệm pháp lý đối với hành vi vi phạm dữ liệu, đó là trách nhiệm hành chính, trách nhiệm dân sự và hình sự. Về xử phạt hành chính, PIPL đã đưa ra ba chế độ xử phạt mang tính đổi mới.
Một là, các ứng dụng nền tảng xử lý dữ liệu cá nhân bất hợp pháp sẽ bị kết án đình chỉ hoặc ngừng dịch vụ và bị phạt tiền. Mặc dù trên thực tế, có một số trường hợp các nền tảng đã được lệnh tạm dừng dịch vụ do vi phạm dữ liệu, nhưng PIPL lần đầu tiên đưa ra hình thức xử phạt như vậy trong luật.
Hai là, mức phạt lớn hơn nhiều. Nếu hoạt động xử lý thông tin cá nhân bất hợp pháp do các công ty nền tảng thực hiện ở mức nghiêm trọng, họ có thể bị phạt lên tới 50 triệu CNY hoặc lên tới 5% thu nhập kinh doanh của năm trước. Đáng chú ý, hình phạt này thậm chí còn cao hơn so với GDPR vốn có giới hạn 2%.
Ba là, PIPL quy định người quản lý chịu trách nhiệm trực tiếp của công ty nền tảng và những người chịu trách nhiệm trực tiếp khác cũng có thể bị cấm giữ chức vụ giám đốc, người giám sát, cán bộ hoặc người chịu trách nhiệm bảo vệ dữ liệu cá nhân trong các công ty liên quan trong một khoảng thời gian nhất định. Ngoài ba biện pháp trừng phạt mới, PIPL quy định nếu các công ty nền tảng vi phạm các quy định của PIPL, cơ quan giám sát có quyền ra lệnh sửa chữa, đưa ra cảnh báo, tịch thu lợi nhuận không công bằng và báo cáo cho cơ quan giám sát có trách nhiệm về hành vi vi phạm, tước giấy phép hoặc giấy phép kinh doanh. Các hành vi vi phạm quyền riêng tư của các nền tảng cũng có thể được ghi lại trong sổ đăng ký tín dụng và có thể được tiết lộ công khai. Do đó, việc vi phạm quyền cá nhân có thể ảnh hưởng nghiêm trọng đến hoạt động kinh doanh của các nền tảng chịu trách nhiệm.
Các nền tảng vi phạm quyền bảo vệ dữ liệu của người dùng cũng có thể phải chịu trách nhiệm bồi thường thiệt hại theo luật dân sự, chính xác hơn là do vi phạm pháp luật, nếu họ không thể chứng minh rằng mình không có lỗi. Trách nhiệm bồi thường thiệt hại phải dựa trên thiệt hại mà những người liên quan phải gánh chịu hoặc lợi ích thu được từ các nền tảng chịu trách nhiệm. Khi các nền tảng vi phạm các quy định của PIPL khi xử lý dữ liệu cá nhân và gây tổn hại đến quyền và lợi ích của một số lượng lớn chủ thể dữ liệu, Viện Kiểm sát Nhân dân, các tổ chức bảo vệ người tiêu dùng được pháp luật chỉ định và các tổ chức được Văn phòng thông tin internet quốc gia chỉ định có thể nộp đơn khiếu nại, khởi kiện ra tòa.
Trên thực tế, có nhiều trường hợp văn phòng công tố đã kiện các nền tảng dựa trên internet đã xử lý dữ liệu cá nhân của người dùng một cách không công bằng nhằm bảo vệ quyền cá nhân của chủ thể dữ liệu. Do đó, một số nền tảng đã bị xử phạt vì vi phạm quyền riêng tư dữ liệu của họ.
Cuối cùng, PIPL quy định nếu hành vi vi phạm luật cấu thành tội hình sự thì phải truy cứu trách nhiệm hình sự theo luật. Quy định này liên quan đến Bộ luật Hình sự. Theo đó, tổ chức, cá nhân nào bán hoặc cung cấp trái phép thông tin cá nhân của công dân cho người khác sẽ bị phạt tiền, giam giữ hoặc phạt tù đến 7 năm nếu tình tiết nghiêm trọng. Với tư cách là các tổ chức, các nền tảng cung cấp dịch vụ cộng đồng phải tuân theo quy định này.
Nguồn: Data Privacy and Crowdsourcing A Comparison of Selected Problems in China, Germany and the United States, https://doi.org/10.1007/978-3-031-32064-4.
