Bảo vệ thông tin cá nhân: Luật mới, nhưng liệu tinh thần có mới?
(KTSG) – Luật Bảo vệ thông tin cá nhân của Trung Quốc (tên tiếng Anh: Personal Information Protection Law – PIPL) được thông qua vào tháng 8-2021 và đã có hiệu lực kể từ ngày 1-11-2021. Xin nhắc lại rằng trước PIPL, Trung Quốc đã thông qua Luật An ninh mạng (2017), Luật An ninh dữ liệu (2021), cũng như có một vài quy định liên quan tới việc bảo vệ thông tin cá nhân trong Bộ luật Dân sự, hay trong luật liên quan tới thương mại điện tử, nhưng đây là lần đầu tiên Trung Quốc có một luật riêng – bao quát cũng như chi tiết – liên quan tới dữ liệu cá nhân.
Sự ra đời của PIPL làm nhiều người thấy Trung Quốc đang ngày càng trở nên nhạy cảm hơn đối với vấn đề này, dù còn khá “chậm chạp” so với Liên minh châu Âu, hay một số quốc gia phát triển khác.
Năm 2016, một sinh viên Trung Quốc đã qua đời vì chứng nhồi máu cơ tim, sau khi bị sốc vì khoản tiền tiết kiệm của cả gia đình đã không cánh mà bay, kết quả của một vụ lừa đảo do bị rò rỉ thông tin cá nhân. Sự việc này đã làm cho nhiều người Trung Quốc lo ngại những hậu quả còn tồi tệ hơn khi thông tin cá nhân không được đảm bảo.
PIPL không chỉ là luật về dữ liệu cá nhân, nó còn là luật về quản lý xã hội và an ninh quốc gia của Trung Quốc.
Nhìn chung, các điểm mới của PIPL nằm trong việc lần đầu đưa ra định nghĩa chi tiết và cụ thể khái niệm “thông tin cá nhân” và phạm vi áp dụng của nó, cũng như các quy định liên quan tới việc thu thập, lưu giữ, và xử lý thông tin cá nhân, tới việc chuyển thông tin qua biên giới, đặc biệt là thông tin có liên quan tới an ninh quốc gia.
Cụ thể, tương tự như luật Bảo vệ dữ liệu của Liên minh châu Âu (General Data Protection Regulation – GDPR), PIPL của Trung Quốc đã công nhận một loạt quyền của cá nhân với thông tin cá nhân, như quyền được thông tin và định đoạt thông tin cá nhân, quyền cấm hoặc hạn chế phạm vi xử lý thông tin cá nhân, quyền tham khảo và lưu một bản sao thông tin cá nhân từ cơ sở dữ liệu, quyền tự do di chuyển dữ liệu, quyền sửa đổi hoặc hủy bỏ thông tin cá nhân từ cơ sở dữ liệu, cũng như quyền đòi hỏi bên xử lý dữ liệu thông tin và giải thích về quy trình xử lý dữ liệu, quyền định đoạt đối với dữ liệu người thân khi người này qua đời… (điều 44 đến điều 50 PIPL). Việc công nhận những quyền cá nhân nói trên là một bước tiến quan trọng, tạo nên “quyền lực cá nhân” đặc biệt cần thiết trong mối tương quan với các doanh nghiệp, tổ chức thu thập dữ liệu cá nhân.
Nếu như ở châu Âu, lý do chính cho sự ra đời của GDPR là để bảo vệ người dân không chỉ trước những nguy cơ lạm dụng từ giới doanh nghiệp, hay khỏi các hoạt động tội phạm mạng, mà còn trước nguy cơ lạm dụng từ chính cơ quan nhà nước, chính phủ, thì PIPL của Trung Quốc lại không hề mang sứ mệnh này.
Đối với các đơn vị thu thập và xử lý thông tin cá nhân, PIPL đưa ra hàng loạt quy định ràng buộc, để hoạt động nói trên được coi là hợp pháp. Ví dụ, doanh nghiệp thu thập, xử lý thông tin cá nhân phải thiết lập một cơ chế “đơn giản, dễ hiểu” cho cá nhân sử dụng khi muốn thực hiện các quyền cá nhân quy định từ điều 44 đến điều 55 PIPL.
Các doanh nghiệp này cũng phải có sự cho phép rõ ràng của cá nhân, đồng thời hoạt động thu thập, xử lý thông tin phải thực sự cần thiết hoặc để thực hiện hợp đồng, thỏa thuận với cá nhân, hoặc để thực hiện nghĩa vụ theo luật định, hoặc để đáp ứng nhu cầu về sức khỏe cộng đồng, bảo vệ tài sản, đời sống cá nhân, trong trường hợp khẩn cấp hoặc để đáp ứng nhu cầu thông tin công cộng… (điều 13 PIPL).
Mọi hành vi xử lý thông tin cá nhân nằm ngoài các phạm vi quy định ở điều 13 PIPL nói trên đều bị coi là bất hợp pháp. Hơn nữa, mọi doanh nghiệp cần phải thường xuyên kiểm tra, xem xét hệ thống quản lý thông tin nội địa, nhằm đối phó tốt hơn với các nguy cơ rò rỉ dữ liệu, ngăn chặn tốt hơn các hành vi tội phạm mạng.
Rõ ràng là khi áp dụng vào thực tế, PIPL sẽ có tác động trực tiếp tới hoạt động của các doanh nghiệp trong và ngoài Trung Quốc. Đặc biệt, PIPL sẽ áp dụng với các doanh nghiệp nước ngoài vận hành ngoài Trung Quốc, nếu như mục đích thu thập, xử lý thông tin cá nhân của các doanh nghiệp này là phân tích, đánh giá hành vi hay cung cấp hàng hóa dịch vụ cho người Trung Quốc nội địa, hay với mục đích khác theo luật định (điều 3 PIPL). Để hạn chế sự lạm dụng thu thập thông tin, luật này cũng quy định ở điều 6 rằng thông tin cá nhân chỉ được thu thập trong giới hạn cần thiết của mục đích thu thập mà thôi.
Đối với doanh nghiệp nước ngoài vận hành ở ngoài Trung Quốc, PIPL đặt ra vấn đề dịch chuyển dữ liệu cá nhân qua biên giới. Thứ nhất là giờ đây các công ty nước ngoài cần phải qua sự cho phép của Cơ quan quản lý mạng Trung Quốc (State Cyberspace Administration) để chuyển dữ liệu cá nhân qua biên giới (điều 38 PIPL).
Tuy nhiên, các doanh nghiệp hiện còn chưa rõ một khi có chứng nhận của SCA, thì chứng nhận này sẽ có hiệu lực một lần, hay có hiệu lực trong một giai đoạn nhất định. Thứ hai là PIPL đặt ra một số quy định phân biệt giữa thông tin cá nhân và thông tin về “cơ sở hạ tầng quan trọng”, vốn là những thông tin được coi là có mối liên quan tới an ninh quốc gia. Đối với nhóm thông tin thứ hai này, theo PIPL thì mọi giao ước quốc tế của Trung Quốc đều phải “nhường chỗ” cho quy định trong nước. Tác động của PIPL đối với các doanh nghiệp nước ngoài đã khá rõ ràng.
Đối với các trường hợp vi phạm quy định của PIPL, hình phạt có thể áp dụng là từ phạt hành chính lên đến 50 triệu nhân dân tệ, hay 5% doanh thu của doanh nghiệp, cho tới cảnh cáo, cấm hoạt động, rút giấy phép kinh doanh… Các doanh nghiệp nước ngoài vì thế sẽ phải đánh giá rõ ràng nguy cơ được và mất khi hoạt động ở Trung Quốc.
Rõ ràng là PIPL đặt ra khá nhiều kiểm soát của Chính phủ Trung Quốc tới việc thu thập và xử lý thông tin cá nhân của các doanh nghiệp trong và ngoài nước. Đây chính là một trong những nỗ lực của Trung Quốc để kiểm soát các ông lớn công nghệ, như Tencent (chủ của Wechat – mạng xã hội của người Trung Quốc) và ByteDance (công ty đứng sau lưng Tiktok và Douyin).
Nếu như PIPL giúp ngăn chặn các hoạt động tội phạm mạng, thì khó có thể phủ nhận nó cũng gắn liền với việc tăng cường quyền lực của chính phủ. PIPL không chỉ là luật về dữ liệu cá nhân, nó còn là luật về quản lý xã hội và an ninh quốc gia của đất nước này.
Trên truyền thông Trung Quốc, nhiều bài báo so sánh PIPL với GDPR của Liên minh châu Âu. Đúng là không khó để có thể thấy sự tương đồng giữa những điều khoản của PIPL và GPPR, tuy nhiên, cần nhấn mạnh rằng trong lĩnh vực bảo vệ thông tin cá nhân, mục tiêu mà Chính phủ Trung Quốc theo đuổi khác rất nhiều mục tiêu mà Liên minh châu Âu đặt ra.
Nếu như ở châu Âu, lý do chính cho sự ra đời của GDPR là để bảo vệ người dân không chỉ trước những nguy cơ lạm dụng từ giới doanh nghiệp, hay khỏi các hoạt động tội phạm mạng, mà còn trước nguy cơ lạm dụng từ chính cơ quan nhà nước, chính phủ, thì PIPL của Trung Quốc lại không hề mang sứ mệnh này. Chính vì thế, nhiều chuyên gia luật ở châu Âu cho rằng PIPL của Trung Quốc là một bản sao “ngược” của GPDR, cũng như còn nghi ngờ mục đích thực sự của sự “biến đổi” này của Trung Quốc trong lĩnh vực thông tin cá nhân.