Kina började inrätta ett system för regler för skydd av personlig information 2012, och sedan dess har regeringen och domstolar utfärdat ett antal relaterade regler.
För närvarande utarbetar Kina en lag för skydd av personlig information. I framtiden kommer lagen om skydd av personuppgifter att bilda Kinas regelverk för skydd av personuppgifter tillsammans med civillagen, cybersäkerhetslagen, konsumentskyddslagen, datasäkerhetslagen och andra administrativa bestämmelser, rättsliga tolkningar och avdelningsbestämmelser.
I. Lagar
1. Civil Civil Code: Part IV Personality Rights (2020)
Kina föreskriver skyddet av personlig information i hela kapitlet i civillagen 2020, det vill säga kapitel 6 integritet och skydd av personlig information i del IV Personlighetsrättigheter i civillagen i Kina (från artikel 1032 till artikel 1039).
De viktigaste punkterna i detta kapitel är följande:
(1) En fysisk person ska åtnjuta rätten till privatliv. Ingen organisation eller individ kan kränka någon annan persons rätt till privatliv genom att spionera, intrång, avslöja eller publicera relevant information eller på något annat sätt. (Artikel 1032 och 1033)
(2) Personlig information om fysiska personer ska skyddas av lagar. (Artikel 1034)
(3) Med personlig information avses all slags information som registreras elektroniskt eller på annat sätt som kan användas för att självständigt identifiera eller kombineras med annan information för att identifiera en viss fysisk person, inklusive den fysiska personens namn, födelsedatum, ID-nummer, biometriska information, adresser, telefonnummer, e-postadress, hälsoinformation, var de befinner sig etc. (artikel 1034)
(4) Behandlingen av personlig information ska först erhålla samtycke från den fysiska personen eller hans / hennes vårdnadshavare och ska inte bryta mot lagar, administrativa bestämmelser eller båda parters avtal. (Artikel 1035)
(5) Behandlingen av personlig information inkluderar insamling, lagring, användning, behandling, överföring, tillhandahållande och utlämnande av personlig information etc. (artikel 1035)
(6) En informationsbehandlare får inte avslöja eller manipulera den personliga information som samlas in och lagras av honom / henne. Utan den fysiska personens medgivande ska informationsbehandlaren inte olagligt tillhandahålla sådan fysisk persons personliga information till någon annan, förutom den information som har behandlats så att den specifika personen inte kan identifieras och som inte kan återställas. ( Artikel 1038)
2. Lag för skydd av personlig information i Kina (utkast) (2020)
Kinas lagstiftare, den nationella folkkongressens ständiga kommitté, håller på att utarbeta en lag om skydd av personlig information och utkastet publicerades den 12 oktober 2020. Från och med nu har utkastet inte röstats om.
De viktigaste punkterna i denna lag är följande:
(1) Denna lag är inte bara tillämplig på någon enhet eller individs behandling av personlig information om fysiska personer i Kina, utan också för specifika aktiviteter för behandling av personuppgifter om fysiska personer i Kina utanför Kina. (Artikel 1)
(2) Känslig personlig information är särskilt skyddad. Denna information inkluderar ras, etnicitet, religion, personliga biologiska egenskaper, medicinsk hälsa, finansiella konton, personliga vistelser. (Artikel 29)
(3) Informationsbehandlare kan endast behandla känslig personlig information under följande förhållanden: (1) De måste använda informationen under vissa omständigheter; (2) De har fått specifikt samtycke från de personer som är inblandade i informationen. (Artikel 29, Artikel 30)
(4) Om informationsbehandlaren behöver tillhandahålla personlig information utanför Kina ska den erhålla godkännande från tillsynsmyndigheten. (Artikel 38)
(5) Vid internationell rättslig hjälp, om informationsbehandlare behöver tillhandahålla personlig information utanför Kina, bör de få godkännande från relevanta myndigheter. (Artikel 41)
(6) När den personuppgifter som behandlas av informationsbehandlaren når en viss mängd bör den utse en viss person som den person som ansvarar för skyddet av personlig information. Den ansvariga kommer att övervaka sina personuppgiftsbehandlingar och skyddsåtgärder. (Artikel 51)
(7) Om informationsbehandlaren bryter mot denna lag kommer inte bara den olagliga inkomsten att konfiskeras utan också en böter på mindre än 50 miljoner yuan eller mindre än 5% av föregående års omsättning. (Artikel 62) Detta borde vara det högsta böterna i alla kinesiska lagar hittills.
3. Kinas cybersäkerhetslag (2017)
Den fjärde delen av denna lag, nätverksinformationssäkerhet, anger nätoperatörernas skyldighet att skydda användarnas personliga information, såsom:
Nätoperatörer ska hålla konfidentiell användarinformation som de samlar in och får inte avslöja, manipulera eller förstöra den personliga information de samlar in; de ska inte tillhandahålla personlig information till andra utan samtycke från den person som samlas in. (Artikel 40, artikel 42)
Nätoperatörer får inte samla in personlig information som är irrelevant för de tjänster de tillhandahåller. De måste tydligt ange syftet, metoden och omfattningen av insamling och användning av information och få samtycke från den person som samlas in. (Artikel 41)
4. Beslut om förstärkning av skyddet av nätverksinformation (2012)
I beslutet fastställs för första gången i Kina reglerna för insamling och användning av personlig information och skyldigheterna för leverantörer av nättjänster att skydda personlig information. All Kinas lagstiftning om nätverkssäkerhet och skydd av personlig information kan spåras tillbaka till denna bestämmelse.
II. Avdelningsregel
1. Bestämmelser om cyberskydd för barns personliga information (2019)
Bestämmelserna syftar till att skydda barns personliga informationssäkerhet (dvs. minderåriga under 14 år) genom att övervaka insamling, lagring, användning, överföring och utlämnande av barns personliga information via Internet inom Kinas territorium.
Åtgärderna syftar till att tillhandahålla en referens för tillsynsmyndigheter för att bestämma olaglig insamling och användning av personlig information av appar och ge vägledning för appoperatörerna till självutredning och självkorrigering och social övervakning av internetanvändarna.
3. Bestämmelser om skydd av telekommunikations- och internetanvändares personliga information (2013)
Bestämmelserna föreskriver att (1) Tjänsteleverantörer ska offentliggöra reglerna för insamling och användning av personlig information. (2) Utan användarens samtycke ska tjänsteleverantörer inte samla in användarnas personliga information, och de kan bara samla in den information som är nödvändig för tillhandahållandet av tjänsten. (3) Tjänsteleverantörer ska förhindra läckage, skada, manipulering eller förlust av användarnas personliga information.
VI. Rättslig tolkning
Bestämmelserna syftar till att tolka artikel 36 i PRC Tort Law, det vill säga under vilka omständigheter nätverksanvändare och nättjänstleverantörer ska ha skadeståndsansvar om de använder nätverket för att kränka andras medborgerliga rättigheter och intressen.
Artikel 36 i skadeståndslagen föreskriver att nätanvändare och nätverkstjänsteleverantörer som använder nätverket för att kränka andras medborgerliga rättigheter ska vara skadeståndsansvariga.
Det är värt att notera att efter att Kinas civillagen 2020 trädde i kraft upphävdes skadeståndslagen. Civil Civil of China: Part VII Ansvar för tortyr innehåller mer detaljerade bestämmelser om cyberöverträdelse i artikel 1194, artikel 1195, artikel 1196 och artikel 1197.
V. Teknisk standard
1. Säkerhetsspecifikation för personlig information (PI) - Kinas nationella standard (2020) 信息 安全 技术 个人 信息 安全 规范
Foto av Road Trip med Raj (https://unsplash.com/@roadtripwithraj) på Unsplash