English
中文 (中国)
日本語
Ngày 22 tháng 3 năm 2024, Trung Quốc đã ban hành Nghị định về phát triển và điều chỉnh luồng dữ liệu xuyên biên giới. Đây là một văn bản quy phạm pháp luật quan trọng trong việc hướng dẫn điều chỉnh, thiết lập quy định bảo hộ thông tin, dữ liệu cá nhân tại Trung Quốc khi được xử lý hoặc luân chuyển xuyên biên giới.
Trong nền kinh tế số toàn cầu, việc di chuyển dữ liệu xuyên biên giới là rất quan trọng, thúc đẩy sự đổi mới, hợp tác quốc tế và phát triển toàn cầu.
Tuy nhiên, để đảm bảo an ninh quốc gia, ổn định xã hội, lợi ích công cộng và phát triển kinh tế nội địa, nhiều quốc gia và vùng lãnh thổ đều đang xem xét xây dựng hệ thống pháp luật chuyên biệt để hạn chế phù hợp dòng chảy dữ liệu xuyên biên giới.
Tại Trung Quốc, kể từ khi triển khai Luật An ninh Mạng, Luật An ninh Số và Luật Bảo vệ Dữ liệu cá nhân, chính phủ quốc gia này đã liên tục khám phá và thử nghiệm các mô hình có kiểm soát trong lĩnh vực chuyển giao dữ liệu xuyên biên giới thông qua việc thử nghiệm triển khai các quy định và quy tắc khác nhau.
Cuối cùng, trước thềm Diễn đàn Phát triển Trung Quốc 2024, Chính phủ Trung Quốc đã ban hành Nghị định về việc phát triển và điều chỉnh việc xử lý dữ liệu xuyên biên giới, nội luật hóa nhiều tiêu chuẩn quốc tế và xu hướng toàn cầu.
Các quy định này được xây dựng để thực hiện đánh giá khả năng bảo mật dữ liệu truyền tải xuyên biên giới, hợp đồng tiêu chuẩn về truyền tải dữ liệu cá nhân ra nước ngoài, chứng nhận bảo vệ dữ liệu cá nhân và các hệ thống liên quan đến việc truyền tải dữ liệu ngoài Trung Quốc khác.
Nội dung chính Nghị định về phát triển và điều chỉnh việc xử lý dữ liệu xuyên biên giới
Đánh giá về tính bảo mật của dữ liệu chuyển giao
Nhằm mục đích loại bỏ các rào cản đối với việc chuyển giao dữ liệu cá nhân xuyên biên giới trong các vấn đề quốc tế hàng ngày và tinh giản quản lý nhân sự toàn cầu cho các công ty đa quốc gia, Nghị định về phát triển và điều chỉnh việc xử lý dữ liệu xuyên biên giới đã quy định chi tiết về việc các bên xử lý dữ liệu chuyển giao ra ngoài lãnh thổ Trung Quốc cần phải đăng ký cấp một bản đánh giá về tính bảo mật của dữ liệu chuyển giao (outbound data transfer security assessment).
Bản đánh giá này là tài liệu pháp lý quan trọng, cần thiết để bên xử lý dữ liệu được cấp quyền chuyển giao dữ liệu xuyên biên giới cho các tổ chức khác ngoài Trung Quốc.
Điều 5 Nghị định cũng quy định một số trường hợp các bên xử lý không cần đăng ký bản đánh giá về tính bảo mật của dữ liệu chuyển giao, gồm:
- Việc xử lý dữ liệu cá nhân là cần thiết để ký kết và thực hiện hợp đồng bao gồm mua sắm xuyên biên giới, giao hàng, chuyển tiền, thanh toán, mở tài khoản, đặt vé máy bay và du lịch, xử lý thị thực,…
- Việc xử lý dữ liệu cá nhân nhằm mục đích quản lý nhân sự xuyên biên giới theo nội quy lao động hoặc hợp đồng lao động tập thể.
- Việc xử lý dữ liệu cá nhân trong tình huống khẩn cấp để bảo vệ tính mạng, sức khỏe và tài sản của thể nhân.
- Việc chuyển giao dữ liệu cá nhân không nhạy cảm (dữ liệu cá nhân cơ bản) không vượt quá 100.000 cá nhân kể từ ngày 1 tháng 1 năm đó.
Hiệu lực của kết quả đánh giá bảo mật chuyển giao dữ liệu xuyên biên giới là 3 năm, kể từ ngày ban hành kết quả đánh giá. Nếu bên xử lý dữ liệu cần tiếp tục hoạt động truyền dữ liệu ra ngoài lãnh thổ Trung Quốc và không có nhu cầu đăng ký lại một bản đánh giá mới về tính an toàn truyền dữ liệu ra ngoài khi hết hạn thì họ có thể nộp đơn xin gia hạn hiệu lực của kết quả đánh giá tới Cục Quản lý không gian mạng quốc gia Trung Quốc cấp tỉnh trong 60 ngày làm việc trước ngày bản đánh giá hết hiệu lực.
Với sự chấp thuận của cơ quan quản lý không gian mạng quốc gia, thời hạn hiệu lực của kết quả đánh giá có thể được gia hạn thêm 3 năm.
Thực hiện hợp đồng tiêu chuẩn để chuyển giao dữ liệu cá nhân ra nước ngoài
Đối với dữ liệu cá nhân không nhạy cảm, Trung Quốc cũng đã giảm nhẹ đi sự hạn chế so với quy định trước đây. Cụ thể, việc chuyển giao dữ liệu cá nhân cơ bản xuyên biên giới cho trên 100.000 và dưới 1 triệu cá nhân sẽ phải thực hiện một hợp đồng tiêu chuẩn để chuyển giao dữ liệu cá nhân ra nước ngoài với người nhận ở nước ngoài hoặc lấy chứng nhận bảo vệ dữ liệu cá nhân.
Đối với dữ liệu cá nhân nhạy cảm, yêu cầu thiết lập hợp đồng là dưới 10.000 cá nhân. Quy định này cũng áp dụng đối với việc yêu cầu bản đánh giá tính an toàn khi chuyển giao dữ liệu xuyên biên giới. Trong một số trường hợp sau, việc ký kết hợp đồng tiêu chuẩn để chuyển giao dữ liệu cá nhân ra nước ngoài sẽ không cần được thực hiện:
- Khi việc truyền dữ liệu ra nước ngoài nhằm mục đích thu thập và tạo ra trong các hoạt động như thương mại quốc tế, vận tải xuyên biên giới, hợp tác học thuật, sản xuất và chế tạo xuyên quốc gia, và tiếp thị,
- Dữ liệu cá nhân được thu thập và tạo ra ở nước ngoài bởi bộ xử lý dữ liệu, sau đó được truyền đến các địa điểm trong nước để xử lý trước khi chuyển ra nước ngoài và không liên quan đến việc đưa dữ liệu cá nhân trong nước hoặc dữ liệu quan trọng trong quá trình xử lý.
- Việc chuyển giao dữ liệu cá nhân ra nước ngoài thuộc các trường hợp quy định tại Điều 5 Nghị định (gồm 4 trường hợp được phân tích bên trên không cần đăng ký bản đánh giá về tính bảo mật của dữ liệu chuyển giao)
- Trong khuôn khổ phân loại loại dữ liệu quốc gia, loại dữ liệu được chuyển giao xuyên biên giới không nằm trong danh sách cấm chuyển giao bởi Free Trade Zones.
Kết luận
Nghị định và các hướng dẫn liên quan cũng đã bổ sung quy định về việc các bên xử lý dữ liệu cần tự đánh giá khả năng bảo mật, an ninh chuyển giao dữ liệu xuyên biên giới.
Cụ thể, Điều 11 Nghị định có quy định rằng khi các bên xử lý dữ liệu truyền dữ liệu ra khỏi Trung Quốc, họ phải tuân thủ luật pháp và quy định, thực hiện nghĩa vụ bảo vệ an ninh dữ liệu, áp dụng các biện pháp kỹ thuật và các biện pháp cần thiết khác để đảm bảo an toàn cho việc truyền dữ liệu ra nước ngoài.
Trong trường hợp xảy ra sự cố hoặc sự cố an toàn dữ liệu, bên xử lý dữ liệu phải thực hiện các biện pháp khắc phục và báo cáo kịp thời cho cơ quan quản lý không gian mạng cấp tỉnh trở lên và các cơ quan quản lý có liên quan khác.
Ngoài ra, Điều 12 quy định rằng khi các bên xử lý dữ liệu truyền dữ liệu ra khỏi Trung Quốc, họ phải tuân thủ luật pháp và quy định, thực hiện nghĩa vụ bảo vệ an ninh dữ liệu, áp dụng các biện pháp kỹ thuật và các biện pháp cần thiết khác để đảm bảo an toàn cho việc truyền dữ liệu ra nước ngoài.
Trong trường hợp xảy ra sự cố hoặc khả năng gây mất an toàn dữ liệu, phải thực hiện các biện pháp khắc phục và báo cáo kịp thời cho cơ quan quản lý không gian mạng cấp tỉnh trở lên và các cơ quan quản lý có liên quan khác.
Đây là các quy định quan trọng trong việc buộc các bên xử lý dữ liệu cá nhân cần có trách nhiệm cao hơn đối với dữ liệu cá nhân của khách hàng hoặc của người dân Trung Quốc.
Với quy định này, Trung Quốc sẽ có cơ sở pháp lý chặt chẽ hơn để kiểm soát, giám sát hoạt động của các doanh nghiệp Trung Quốc và xử phạt các hành vi sai phạm, góp phần xây dựng hình ảnh quốc gia có độ an toàn, bảo mật cao, đáng tin cậy. Động thái này cũng được đánh giá là một phần trong chiến dịch đảo ngược hình ảnh công nghệ tiên tiến, bảo mật cao của các nước phương Tây qua các vụ rò rỉ dữ liệu cá nhân trong thập kỉ qua đến Trung Quốc.
Về bản chất, Nghị định chủ yếu điều chỉnh các nội dung liên quan đến dữ liệu cá nhân cơ bản, trong khi duy trì tính toàn vẹn của dữ liệu quan trọng và dữ liệu cá nhân nhạy cảm (Nghị định số 13/2023/NĐ-CP của Việt Nam chỉ có quy định về dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm mà không có quy định về dữ liệu quan trọng).
Các quy định mới của Trung Quốc đã giảm bớt đáng kể sự kiểm soát đối với việc chuyển giao thông tin không nhạy cảm xuyên biên giới. Được biết, đây là xu hướng toàn cầu khi nhiều quốc gia phát triển khác cũng đã phổ biến, đơn giản, thuận lợi hóa việc chuyển giao dữ liệu cá nhân cơ bản, hay được phân loại là dữ liệu cá nhân không nhạy cảm, dữ liệu cá nhân không quan trọng,… theo luật pháp của họ.
Đây là động thái nhất quán với cam kết của Trung Quốc về mức độ mở cửa, hội nhập cao và nỗ lực tăng cường thu hút và sử dụng nguồn vốn đầu tư nước ngoài.
Năm 2023, Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1 tháng 7 năm 2023. Đây là văn bản quy phạm pháp luật đầu tiên của Việt Nam điều chỉnh về cách thu thập, chuyển giao dữ liệu ra nước ngoài, lưu trữ và xử lý dữ liệu cá nhân tại Việt Nam.
***ASL Law là công ty luật độc lập và cung cấp đầy đủ dịch vụ được tín nhiệm cao của Việt Nam gồm các luật sư giàu kinh nghiệm và tài năng. ASL Law được Legal500, Asia Law, WTR và Asia Business Law Journal. xếp hạng là Công ty Luật hàng đầu tại Việt Nam. Có trụ sở tại Hà Nội và Thành phố Hồ Chí Minh, mục đích chính của ASL LAW là cung cấp lời tư vấn và giải pháp lý thiết thực, hiệu quả và hợp pháp nhất cho khách hàng trong nước và quốc tế. Nếu cần sự trợ giúp, Quý khách hàng có thể gửi email liên hệ tới [email protected].
Liên hệ với công ty Luật ASL LAW để được tư vấn pháp lý chuyên sâu tại Việt Nam và quốc tế.
BÀI VIẾT HỮU ÍCH LIÊN QUAN
