Luật bảo vệ thông tin cá nhân của Trung Quốc chính thức có hiệu lực

Chính phủ Trung Quốc cho biết, Luật Bảo vệ thông tin cá nhân chính thức có hiệu lực từ ngày 1/11, rất cần thiết để giải quyết các vấn đề phức tạp liên quan đến dữ liệu, đặc biệt khi các nền tảng trực tuyến thu thập dữ liệu cá nhân người dùng một cách quá mức.

Chính thức có hiệu lực từ ngày 1/11/2021, Luật Bảo vệ thông tin cá nhân (PIPL) cung cấp cơ sở pháp lý cho hoạt động xử lý thông tin cá nhân, bảo đảm đầy đủ quyền lợi của người dùng trong việc bảo vệ thông tin cá nhân, cung cấp hướng dẫn giúp doanh nghiệp tuân thủ các quy định liên quan.

Theo ZDnet, luật này đã được thông qua vào tháng 8, sau khi trải qua một vài lần sửa đổi kể từ lần đầu tiên được giới thiệu vào tháng 10 năm ngoái. Chính phủ Trung Quốc sau đó cho biết, PIPL, chính thức có hiệu lực từ ngày 1/11, rất cần thiết để giải quyết các vấn đề phức tạp liên quan đến dữ liệu, đặc biệt khi các nền tảng trực tuyến thu thập dữ liệu cá nhân người dùng một cách quá mức.

Thông tin cá nhân được định nghĩa là tất cả các loại dữ liệu được ghi lại dưới dạng điện tử hoặc các hình thức khác, liên quan đến những người được nhận dạng hoặc có thể nhận dạng được. Nó không bao gồm dữ liệu ẩn danh.

Ảnh minh hoạ.

PIPL cũng áp dụng cho các tổ chức nước ngoài xử lý dữ liệu cá nhân ở nước ngoài với mục đích cung cấp sản phẩm và dịch vụ cho người tiêu dùng Trung Quốc cũng như phân tích hành vi của người tiêu dùng Trung Quốc. Họ cũng sẽ phải thành lập các cơ quan được chỉ định hoặc cử đại diện có trụ sở tại Trung Quốc để chịu trách nhiệm về các vấn đề liên quan đến việc bảo vệ dữ liệu cá nhân.

Luật mới bao gồm một chương áp dụng cụ thể cho việc truyền dữ liệu xuyên biên giới, nêu rõ rằng các công ty chuyển thông tin cá nhân người dùng ra khỏi Trung Quốc trước tiên phải tiến hành "đánh giá tác động bảo vệ thông tin cá nhân", theo Văn phòng chịu trách nhiệm về dữ liệu quyền riêng tư về cá nhân của Hồng Kông (PCPD).

Ngoài ra, khi chuyển giao thông tin cá nhân người dùng ra nước ngoài, các công ty cũng cần phải có sự đồng ý riêng từ các cá nhân liên quan và đáp ứng một trong số các yêu cầu. Một trong những điều đó là doanh nghiệp (DN) phải đồng ý với một "hợp đồng tiêu chuẩn" do các cơ quan chức năng giám sát các vấn đề về không gian mạng ban hành. Ngoài ra, họ phải đáp ứng các yêu cầu được nêu trong các luật và quy định khác do các cơ quan có thẩm quyền thiết lập.

Các DN nước ngoài cũng sẽ phải thực hiện các biện pháp cần thiết để đảm bảo các bên nước ngoài khác tham gia xử lý dữ liệu tuân thủ các tiêu chuẩn bảo mật dữ liệu do PIPL quy định.

Trước khi ra mắt PIPL, Trung Quốc không có điều luật chuyên biệt nào nhằm quy phạm cách thức sử dụng thông tin cá nhân, các điều khoản bảo vệ đời tư xuất hiện rải rác tại các quy định và điều luật khác nhau. Trong bối cảnh thương mại điện tử và số hóa tại Trung Quốc phát triển ngày một mạnh mẽ, người dùng mạng tại Trung Quốc rất cần được khoác cho thông tin cá nhân một lớp giáp bảo vệ.

Từ năm 2003, một bản dự thảo bảo vệ thông tin cá nhân được chuyên gia Trung Quốc công bố. Năm 2018, bảo vệ thông tin cá nhân được đưa vào quy trình lập pháp. Năm 2021, sau 18 năm thai nghén, Luật Bảo vệ thông tin cá nhân nước Cộng hòa nhân dân Trung Hoa được Quốc hội khóa 13 biểu quyết thông qua, với 8 Chương 74 Điều.

Nhìn tổng thể, bộ luật bao trùm toàn bộ quá trình xử lý thông tin cá nhân, từ thu thập, lưu trữ đến sử dụng, gia công, lan truyền, cung cấp, công khai, xóa bỏ… dữ liệu. Cụ thể hơn, bộ luật nói không với việc thu thập quá mức dữ liệu cá nhân, sử dụng thủ thuật sử dụng dữ liệu lớn để “nâng giá với khách quen”, sử dụng công nghệ nhận diện gương mặt… của các ứng dụng.

Trước đây, người dùng chỉ có quyền đăng ký mà không có quyền hủy bỏ. Họ không ý thức được rằng, sau khi xóa đi một dịch vụ hoặc sản phẩm trên Internet, dữ liệu cá nhân được dịch vụ và sản phẩm đó thu thập khi đăng ký sử dụng vẫn được lưu lại. Tuy nhiên với bộ luật mới, thao tác gỡ ứng dụng sẽ được đi kèm với việc gỡ bỏ toàn bộ dữ liệu cá nhân được khai báo khi đăng ký sử dụng ứng dụng.

Nhiều người dùng Trung Quốc là khách hàng lâu năm của một ứng dụng mua sắm trực tuyến, bỗng phát hiện giá sản phẩm trên điện thoại của mình cao hơn người dùng mới, có nghĩa là người này đang bị lợi dụng thông tin cá nhân để nhận thủ thuật tự động hóa một cách bất đắc dĩ. Bộ luật mới quy định, thủ thuật tự động hóa phải bảo đảm tính công bằng, minh bạch, không được tạo đãi ngộ khác biệt trong các giao dịch cá nhân.

Tương tự giải pháp chuyển dữ liệu (Data Transfer Project) giữa Facebook, Google, Microsoft và Twitter, bộ luật có thêm quy định về quyền mang theo dữ liệu cá nhân, theo đó, người dùng yêu cầu dịch chuyển dữ liệu cá nhân đến nền tảng chỉ định, nếu phù hợp với điều kiện quy định của cơ quan thông tin mạng quốc gia, nền tảng nắm giữ dữ liệu cá nhân phải cung cấp cho người dùng kênh dịch chuyển dữ liệu.

Với quy định dịch chuyển dữ liệu cá nhân, vị thế độc tôn của các ứng dụng mạng xã hội phổ biến tại Trung Quốc như weixin, alipay, hay mua sắm trực tuyến taobao, jingdong, pinduoduo đang đứng trước cuộc cải tổ lớn về phương thức kinh doanh. Từ chỗ với thế mạnh nắm giữ dữ liệu, chủ động tung ra các thủ thuật tự động hóa hoặc quảng cáo làm phiền khách hàng, các ứng dụng trên buộc phải tìm cách chiều lòng và thấu hiểu tâm lý khách hàng của mình hơn, nếu không muốn họ tìm đến các ứng dụng khác.

 Chân Hoàn (T/h)