จีนเริ่มสร้างระบบกฎเกณฑ์สำหรับการปกป้องข้อมูลส่วนบุคคลในปี 2012 และตั้งแต่นั้นมารัฐบาลและศาลก็ได้ประกาศใช้กฎระเบียบที่เกี่ยวข้องจำนวนมาก
ขณะนี้จีนกำลังร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในอนาคตกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะสร้างระบบกฎการคุ้มครองข้อมูลส่วนบุคคลของจีนร่วมกับประมวลกฎหมายแพ่งกฎหมายความปลอดภัยทางไซเบอร์กฎหมายคุ้มครองสิทธิผู้บริโภคกฎหมายความปลอดภัยของข้อมูลและระเบียบบริหารอื่น ๆ การตีความทางศาลและข้อบังคับของแผนก
I. กฎหมาย
1. ประมวลกฎหมายแพ่งของจีน: ส่วนที่ 2020 สิทธิทางบุคลิกภาพ (XNUMX)
จีนกำหนดให้มีการคุ้มครองข้อมูลส่วนบุคคลในบทที่สมบูรณ์ของประมวลกฎหมายแพ่งปี 2020 นั่นคือบทที่ 6 ความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคลในส่วนที่ 1032 สิทธิบุคลิกภาพของประมวลกฎหมายแพ่งของจีน (จากมาตรา 1039 ถึงมาตรา XNUMX)
ประเด็นสำคัญของบทนี้มีดังนี้:
(1) บุคคลธรรมดาจะได้รับสิทธิในความเป็นส่วนตัว ห้ามองค์กรหรือบุคคลใดละเมิดสิทธิในความเป็นส่วนตัวของบุคคลอื่นโดยการสอดแนมบุกรุกเปิดเผยหรือเผยแพร่ข้อมูลที่เกี่ยวข้องหรือด้วยวิธีการอื่นใด (มาตรา 1032 และ 1033)
(2) ข้อมูลส่วนบุคคลเกี่ยวกับบุคคลธรรมดาจะได้รับการคุ้มครองตามกฎหมาย (มาตรา 1034)
(3) ข้อมูลส่วนบุคคลหมายถึงข้อมูลทุกประเภทที่บันทึกด้วยระบบอิเล็กทรอนิกส์หรืออื่น ๆ ที่สามารถใช้เพื่อระบุตัวตนหรือรวมกับข้อมูลอื่น ๆ เพื่อระบุตัวบุคคลตามธรรมชาติที่ระบุได้อย่างอิสระรวมถึงชื่อบุคคลธรรมดาวันเดือนปีเกิดหมายเลขบัตรประชาชนไบโอเมตริกซ์ ข้อมูลที่อยู่หมายเลขโทรศัพท์ที่อยู่อีเมลข้อมูลสุขภาพเบาะแส ฯลฯ (มาตรา 1034)
(4) การประมวลผลข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากบุคคลธรรมดาหรือผู้ปกครองของตนก่อนและจะต้องไม่ละเมิดกฎหมายระเบียบการบริหารหรือข้อตกลงของทั้งสองฝ่าย (มาตรา 1035)
(5) การประมวลผลข้อมูลส่วนบุคคลรวมถึงการรวบรวมการจัดเก็บการใช้การประมวลผลการส่งการจัดหาและการเปิดเผยข้อมูลส่วนบุคคล ฯลฯ (มาตรา 1035)
(6) ผู้ประมวลผลข้อมูลจะต้องไม่เปิดเผยหรือยุ่งเกี่ยวกับข้อมูลส่วนบุคคลที่รวบรวมและจัดเก็บโดยเขา / เธอ หากไม่ได้รับความยินยอมจากบุคคลธรรมดาผู้ประมวลผลข้อมูลจะต้องไม่ให้ข้อมูลส่วนบุคคลของบุคคลธรรมดาดังกล่าวแก่ผู้อื่นโดยมิชอบด้วยกฎหมายยกเว้นข้อมูลที่ได้รับการประมวลผลจนไม่สามารถระบุตัวบุคคลที่ระบุและไม่สามารถกู้คืนได้ ( บทความ 1038)
2. กฎหมายคุ้มครองข้อมูลส่วนบุคคลของจีน (ร่าง) (2020)
สภานิติบัญญัติของจีนซึ่งเป็นคณะกรรมการประจำสภาประชาชนแห่งชาติกำลังร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลและร่างฉบับนี้เผยแพร่เมื่อวันที่ 12 ตุลาคม 2020 ณ ตอนนี้ร่างยังไม่ได้รับการโหวต
ประเด็นสำคัญของกฎหมายนี้มีดังนี้:
(1) กฎหมายนี้ไม่เพียง แต่บังคับใช้กับหน่วยงานหรือบุคคลใด ๆ ในการประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดาในประเทศจีนเท่านั้น แต่ยังรวมถึงกิจกรรมเฉพาะในการประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดาในประเทศจีนนอกประเทศจีน (หัวข้อที่ 1)
(2) ข้อมูลส่วนบุคคลที่ละเอียดอ่อนได้รับการคุ้มครองเป็นพิเศษ ข้อมูลนี้รวมถึงเชื้อชาติชาติพันธุ์ศาสนาลักษณะทางชีววิทยาส่วนบุคคลสุขภาพทางการแพทย์บัญชีการเงินเบาะแสส่วนบุคคล (ข้อ 29)
(3) ผู้ประมวลผลข้อมูลสามารถประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนภายใต้เงื่อนไขต่อไปนี้เท่านั้น: (1) ต้องใช้ข้อมูลภายใต้สถานการณ์บางอย่าง; (2) พวกเขาได้รับความยินยอมเฉพาะจากบุคคลที่เกี่ยวข้องกับข้อมูล (ข้อ 29 ข้อ 30)
(4) หากผู้ประมวลผลข้อมูลจำเป็นต้องให้ข้อมูลส่วนบุคคลนอกประเทศจีนจะต้องได้รับการอนุมัติจากหน่วยงานกำกับดูแล (ข้อ 38)
(5) ในความช่วยเหลือด้านกระบวนการยุติธรรมระหว่างประเทศหากผู้ประมวลผลข้อมูลจำเป็นต้องให้ข้อมูลส่วนบุคคลนอกประเทศจีนพวกเขาควรได้รับการอนุมัติจากหน่วยงานที่เกี่ยวข้อง (ข้อ 41)
(6) เมื่อข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้ประมวลผลข้อมูลถึงจำนวนที่กำหนดควรกำหนดให้บุคคลใดบุคคลหนึ่งเป็นผู้รับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคล ผู้รับผิดชอบจะดูแลกิจกรรมการประมวลผลข้อมูลส่วนบุคคลและมาตรการป้องกัน (ข้อ 51)
(7) หากผู้ประมวลผลข้อมูลละเมิดกฎหมายนี้ไม่เพียง แต่จะถูกยึดรายได้ที่ผิดกฎหมายเท่านั้น แต่ยังมีการปรับเงินน้อยกว่า 50 ล้านหยวนหรือน้อยกว่า 5% ของมูลค่าการซื้อขายของปีที่แล้วด้วย (มาตรา 62) สิ่งนี้ควรเป็นค่าปรับสูงสุดในกฎหมายจีนทั้งหมดจนถึงขณะนี้
3. กฎหมายความปลอดภัยทางไซเบอร์ของจีน (2017)
ส่วนที่สี่ของกฎหมายนี้การรักษาความปลอดภัยข้อมูลเครือข่ายกำหนดภาระหน้าที่ของผู้ให้บริการเครือข่ายในการปกป้องข้อมูลส่วนบุคคลของผู้ใช้เช่น:
ผู้ให้บริการเครือข่ายจะต้องเก็บรักษาข้อมูลผู้ใช้ที่พวกเขารวบรวมไว้เป็นความลับและจะไม่เปิดเผยแทรกแซงหรือทำลายข้อมูลส่วนบุคคลที่พวกเขารวบรวม พวกเขาจะไม่ให้ข้อมูลส่วนบุคคลแก่ผู้อื่นโดยไม่ได้รับความยินยอมจากบุคคลที่ถูกรวบรวม (ข้อ 40 ข้อ 42)
ผู้ให้บริการเครือข่ายจะต้องไม่รวบรวมข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องกับบริการที่พวกเขาให้ ต้องระบุวัตถุประสงค์วิธีการและขอบเขตของการรวบรวมและใช้ข้อมูลอย่างชัดเจนและต้องได้รับความยินยอมจากบุคคลที่ถูกรวบรวม (ข้อ 41)
4. การตัดสินใจในการเสริมสร้างการปกป้องข้อมูลเครือข่าย (2012)
การตัดสินใจกำหนดเป็นครั้งแรกในประเทศจีนกฎสำหรับการรวบรวมและการใช้ข้อมูลส่วนบุคคลและภาระหน้าที่ของผู้ให้บริการเครือข่ายในการปกป้องข้อมูลส่วนบุคคล กฎหมายทั้งหมดของจีนเกี่ยวกับการรักษาความปลอดภัยเครือข่ายและการปกป้องข้อมูลส่วนบุคคลสามารถตรวจสอบย้อนกลับไปยังบทบัญญัตินี้
II. การปกครองของแผนก
1. บทบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของเด็กในโลกไซเบอร์ (2019)
บทบัญญัติดังกล่าวมีจุดมุ่งหมายเพื่อปกป้องความปลอดภัยของข้อมูลส่วนบุคคลของเด็ก (เช่นผู้เยาว์อายุต่ำกว่า 14 ปี) โดยการดูแลการรวบรวมการจัดเก็บการใช้การถ่ายโอนและการเปิดเผยข้อมูลส่วนบุคคลของเด็กผ่านทางอินเทอร์เน็ตภายในดินแดนของจีน
2. มาตรการในการพิจารณาการรวบรวมและการใช้ข้อมูลส่วนบุคคลที่ผิดกฎหมายโดยแอพ (2019)
มาตรการนี้มีจุดมุ่งหมายเพื่อให้ข้อมูลอ้างอิงสำหรับหน่วยงานกำกับดูแลในการพิจารณาการรวบรวมและการใช้ข้อมูลส่วนบุคคลที่ผิดกฎหมายโดย Apps และให้คำแนะนำสำหรับผู้ให้บริการแอปในการตรวจสอบตนเองและแก้ไขตนเองและการกำกับดูแลทางสังคมของผู้ใช้อินเทอร์เน็ต
3. บทบัญญัติเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลของผู้ใช้โทรคมนาคมและอินเทอร์เน็ต (2013)
บทบัญญัติกำหนดว่า: (1) ผู้ให้บริการจะต้องเผยแพร่กฎระเบียบในการรวบรวมและการใช้ข้อมูลส่วนบุคคล (2) หากไม่ได้รับความยินยอมจากผู้ใช้ผู้ให้บริการจะต้องไม่รวบรวมข้อมูลส่วนบุคคลของผู้ใช้และสามารถรวบรวมได้เฉพาะข้อมูลที่จำเป็นสำหรับการให้บริการเท่านั้น (3) ผู้ให้บริการจะต้องป้องกันการรั่วไหลความเสียหายการดัดแปลงหรือการสูญเสียข้อมูลส่วนบุคคลของผู้ใช้
VI. การตีความทางตุลาการ
บทบัญญัติดังกล่าวมีจุดมุ่งหมายเพื่อตีความมาตรา 36 ของกฎหมายการละเมิดของ PRC นั่นคือภายใต้สถานการณ์ใดที่ผู้ใช้เครือข่ายและผู้ให้บริการเครือข่ายควรต้องรับผิดต่อการละเมิดหากพวกเขาใช้เครือข่ายเพื่อละเมิดสิทธิพลเมืองและผลประโยชน์ของผู้อื่น
มาตรา 36 ของกฎหมายการละเมิดกำหนดว่าผู้ใช้เครือข่ายและผู้ให้บริการเครือข่ายที่ใช้เครือข่ายเพื่อละเมิดสิทธิพลเมืองของผู้อื่นจะต้องรับผิดทางละเมิด
เป็นที่น่าสังเกตว่าหลังจากประมวลกฎหมายแพ่งปี 2020 ของจีนมีผลบังคับใช้กฎหมายการละเมิดก็ถูกยกเลิก ประมวลกฎหมายแพ่งของจีน: Part VII Liability for Tort ให้รายละเอียดระเบียบเพิ่มเติมเกี่ยวกับการละเมิดทางไซเบอร์ในมาตรา 1194, มาตรา 1195, มาตรา 1196 และมาตรา 1197
V. มาตรฐานทางเทคนิค
1. ข้อกำหนดด้านความปลอดภัยของข้อมูลส่วนบุคคล (PI) - มาตรฐานแห่งชาติของจีน (2020) 信息安全技术个人信息安全规范
ภาพถ่ายโดย Road Trip with Raj (https://unsplash.com/@roadtripwithraj) บน Unsplash