China is in 2012 begonnen met het opzetten van een systeem van regels voor de bescherming van persoonlijke informatie, en sindsdien hebben de regering en de rechtbanken een aantal gerelateerde regels uitgevaardigd.
Momenteel werkt China aan een wet ter bescherming van persoonlijke informatie. In de toekomst zal de wet op de bescherming van persoonlijke informatie het Chinese regelsysteem voor de bescherming van persoonlijke informatie vormen, samen met het burgerlijk wetboek, de cyberbeveiligingswet, de wet op de bescherming van consumentenrechten, de gegevensbeveiligingswet en andere administratieve voorschriften, gerechtelijke interpretaties en departementale voorschriften.
I. Wetten
1. Burgerlijk Wetboek van China: Deel IV Persoonlijkheidsrechten (2020)
China bepaalt de bescherming van persoonlijke informatie in het volledige hoofdstuk van het Burgerlijk Wetboek van 2020, dat wil zeggen, Hoofdstuk 6, de privacy en bescherming van persoonlijke informatie in Deel IV Persoonlijkheidsrechten van het Burgerlijk Wetboek van China (van artikel 1032 tot en met artikel 1039).
De belangrijkste punten van dit hoofdstuk zijn:
(1) Een natuurlijk persoon geniet het recht op privacy. Geen enkele organisatie of individu mag inbreuk maken op het recht op privacy van een andere persoon door spionage, inbreuk, openbaarmaking of publicatie van de relevante informatie of op enige andere manier. (Artikelen 1032 en 1033)
(2) Persoonlijke informatie over natuurlijke personen wordt beschermd door de wet. (Artikel 1034)
(3) Persoonlijke informatie verwijst naar alle soorten informatie die elektronisch of anderszins is geregistreerd en die kan worden gebruikt om onafhankelijk te identificeren of te combineren met andere informatie om een specifieke natuurlijke persoon te identificeren, inclusief de namen van de natuurlijke persoon, geboortedatum, ID-nummers, biometrische gegevens. informatie, adressen, telefoonnummers, e-mailadres, gezondheidsinformatie, verblijfplaats, enz. (artikel 1034)
(4) De verwerking van persoonlijke informatie vereist eerst de toestemming van de natuurlijke persoon of zijn / haar voogd en is niet in strijd met wetten, administratieve voorschriften of de overeenkomsten van beide partijen. (Artikel 1035)
(5) De verwerking van persoonlijke informatie omvat het verzamelen, opslaan, gebruiken, verwerken, verzenden, verstrekken en vrijgeven van persoonlijke informatie, enz. (Artikel 1035)
(6) Een informatieverwerker mag de door hem / haar verzamelde en opgeslagen persoonlijke informatie niet onthullen of ermee knoeien. Zonder de toestemming van de natuurlijke persoon zal de informatieverwerker de persoonlijke informatie van een dergelijke natuurlijke persoon niet onrechtmatig aan een ander verstrekken, behalve de informatie die is verwerkt zodat de specifieke persoon niet kan worden geïdentificeerd en die niet kan worden hersteld. Artikel 1038)
2. Wet op de bescherming van persoonlijke informatie van China (concept) (2020)
De Chinese wetgevende macht, het Permanent Comité van het Nationale Volkscongres, is bezig met het opstellen van de wet ter bescherming van persoonlijke informatie, en het ontwerp is op 12 oktober 2020 gepubliceerd. Op dit moment is er niet over het ontwerp gestemd.
De belangrijkste punten van deze wet zijn:
(1) Deze wet is niet alleen van toepassing op de verwerking van persoonsgegevens van natuurlijke personen door een entiteit of individu in China, maar ook op specifieke activiteiten voor de verwerking van persoonsgegevens van natuurlijke personen in China buiten China. (Artikel 1)
(2) Gevoelige persoonlijke informatie is speciaal beschermd. Deze informatie omvat ras, etniciteit, religie, persoonlijke biologische kenmerken, medische gezondheid, financiële rekeningen, persoonlijke verblijfplaats. (Artikel 29)
(3) Informatieverwerkers kunnen gevoelige persoonlijke informatie alleen onder de volgende voorwaarden verwerken: (1) Ze moeten de informatie onder bepaalde omstandigheden gebruiken; (2) Ze hebben de specifieke toestemming gekregen van de personen die bij de informatie betrokken zijn. (Artikel 29, artikel 30)
(4) Als de informatieverwerker persoonlijke informatie buiten China moet verstrekken, moet hij de goedkeuring van de regelgevende instantie verkrijgen. (Artikel 38)
(5) Als informatieverwerkers bij internationale gerechtelijke bijstand persoonlijke informatie buiten China moeten verstrekken, moeten zij toestemming krijgen van de relevante autoriteiten. (Artikel 41)
(6) Wanneer de door de informatieverwerker verwerkte persoonsgegevens een bepaald bedrag bereiken, moet hij een bepaalde persoon aanwijzen als de persoon die verantwoordelijk is voor de bescherming van persoonsgegevens. De verantwoordelijke zal toezicht houden op de verwerkingsactiviteiten en beschermingsmaatregelen van zijn persoonsgegevens. (Artikel 51)
(7) Als de informatieverwerker deze wet overtreedt, zal niet alleen het illegale inkomen in beslag worden genomen, maar zal ook een boete worden opgelegd van minder dan 50 miljoen yuan of minder dan 5% van de omzet van het voorgaande jaar. (Artikel 62) Dit zou de hoogste boete tot dusver in alle Chinese wetten moeten zijn.
3. Cyberbeveiligingswet van China (2017)
Het vierde deel van deze wet, netwerkinformatiebeveiliging, bepaalt de verplichting van netwerkoperators om de persoonlijke informatie van gebruikers te beschermen, zoals:
Netwerkexploitanten houden de gebruikersinformatie die ze verzamelen vertrouwelijk en mogen de persoonlijke informatie die ze verzamelen niet openbaar maken, manipuleren of vernietigen; zij zullen geen persoonlijke informatie aan anderen verstrekken zonder de toestemming van de persoon die wordt verzameld. (Artikel 40, artikel 42)
Netwerkexploitanten mogen geen persoonlijke informatie verzamelen die niet relevant is voor de diensten die zij verlenen. Ze moeten het doel, de methode en de reikwijdte van het verzamelen en gebruiken van informatie duidelijk vermelden en de toestemming verkrijgen van de persoon die wordt verzameld. (Artikel 41)
4. Besluit ter versterking van de bescherming van netwerkinformatie (2012)
Het besluit legt, voor het eerst in China, de regels vast voor het verzamelen en gebruiken van persoonlijke informatie en de verplichtingen van netwerkdienstverleners om persoonlijke informatie te beschermen. Alle Chinese wetgeving inzake netwerkbeveiliging en bescherming van persoonlijke informatie is terug te voeren op deze bepaling.
II. Departementale regel
1. Bepalingen inzake de cyberbescherming van persoonlijke gegevens van kinderen (2019)
De bepalingen hebben tot doel de persoonlijke informatiebeveiliging van kinderen (dwz minderjarigen jonger dan 14 jaar) te beschermen door toezicht te houden op het verzamelen, opslaan, gebruiken, overdragen en vrijgeven van persoonlijke informatie van kinderen via internet op het grondgebied van China.
De maatregelen zijn bedoeld als referentie voor regelgevende autoriteiten om de illegale verzameling en gebruik van persoonlijke informatie door apps vast te stellen, en als leidraad voor de app-exploitanten bij zelfonderzoek en zelfcorrectie en het sociale toezicht van de internetgebruikers.
De bepalingen bepalen dat: (1) dienstverleners de regels voor het verzamelen en gebruiken van persoonlijke informatie publiceren. (2) Zonder de toestemming van gebruikers mogen serviceproviders geen persoonlijke informatie van gebruikers verzamelen en kunnen zij alleen de informatie verzamelen die nodig is voor het verlenen van service. (3) Dienstverleners voorkomen het lekken, beschadigen, knoeien of verlies van persoonlijke gegevens van gebruikers.
VI. Gerechtelijke interpretatie
De bepalingen zijn bedoeld om artikel 36 van de VRC-wet inzake onrechtmatige daad te interpreteren, dat wil zeggen onder welke omstandigheden moeten netwerkgebruikers en netwerkdienstverleners aansprakelijk zijn voor onrechtmatige daad als ze het netwerk gebruiken om inbreuk te maken op de burgerrechten en belangen van anderen.
Artikel 36 van de Wet inzake onrechtmatige daad bepaalt dat netwerkgebruikers en netwerkdienstverleners die het netwerk gebruiken om inbreuk te maken op de burgerrechten van anderen, aansprakelijk zijn voor onrechtmatige daad.
Het is vermeldenswaard dat, nadat China's burgerlijk wetboek van 2020 in werking trad, de wet inzake onrechtmatige daad werd ingetrokken. Burgerlijk Wetboek van China: Deel VII Aansprakelijkheid voor onrechtmatige daad biedt meer gedetailleerde voorschriften over cyberinbreuk in artikel 1194, artikel 1195, artikel 1196 en artikel 1197.
V. Technische norm
1. Beveiligingsspecificatie voor persoonlijke informatie (PI) - National Standard of China (2020) 信息 安全 技术 个人 信息 安全 规范
Foto door Road Trip with Raj (https://unsplash.com/@roadtripwithraj) op Unsplash