Bỏ Qua Luật Bảo Mật Dữ Liệu Mới của Trung Quốc Bạn Có Thể Đối Mặt Với Nguy Hiểm

Gần 989 triệu người sử dụng internet ở Trung Quốc không quen với quyền riêng tư số hóa—nhưng có vẻ như điều đó đang thay đổi. Vào ngày 1 tháng 11, luật bảo vệ dữ liệu toàn diện đầu tiên của đất nước này đã có hiệu lực và nâng cao bảo vệ cho hàng trăm triệu người tiêu dùng. Luật này sẽ định hình lại cách các công ty ở Trung Quốc kinh doanh, nhưng cũng sẽ tạo ra những sóng lớn trên toàn cầu.

Những quy tắc mới xuất hiện dưới hình thức Luật Bảo Vệ Thông Tin Cá Nhân (PIPL), áp đặt những hạn chế lớn hơn đối với việc các công ty và cá nhân xử lý thông tin cá nhân của người khác có thể làm với dữ liệu đó. Luật này là đợt tấn công mới nhất trong những nỗ lực của Trung Quốc để kiềm chế sự tăng trưởng không kiểm soát trước đó của các ông lớn công nghệ, bao gồm cả Tencent, nhà điều hành của WeChat và ByteDance, công ty đứng sau TikTok và Douyin.

Mặc dù luật có thể giúp ngăn chặn giao dịch và lấy cắp dữ liệu không được ủy quyền tại Trung Quốc, nó cũng chặt chẽ liên quan đến lợi ích an ninh quốc gia của chính phủ và xây dựng trên các luật an ninh mạng và an ninh dữ liệu gần đây. Các công ty nước ngoài không tuân theo PIPL hoặc gây hại đến an ninh quốc gia của Trung Quốc có thể bị đưa vào danh sách đen, điều này có thể hiệu quả cấm họ xử lý dữ liệu cá nhân Trung Quốc—mở cửa cho đối phó quốc tế với doanh nghiệp. Trong ngày Luật được giới thiệu, Yahoo đóng cửa những dịch vụ cuối cùng mà nó đang vận hành ở Trung Quốc, trích dẫn môi trường kinh doanh và pháp lý ngày càng khó khăn. LinkedIn chỉ ra những lo ngại tương tự khi rút lui khỏi Trung Quốc vào tháng 10.

“Khi nhìn vào PIPL, thực sự chú trọng vào bảo vệ cá nhân, xã hội và an ninh quốc gia—vì hệ thống chính trị Trung Quốc độc đáo,” nói Alexa Lee, một quản lý cấp cao về chính sách tại Hội đồng Công nghiệp Công nghệ Thông tin và một biên tập viên phụ tại dự án DigiChina của Đại học Stanford, đã dịch PIPL sang tiếng Anh.

Luật bảo vệ quyền riêng tư cá nhân của Trung Quốc phản ánh một số khía cạnh của Nghị định Bảo vệ Dữ liệu Tổng quát (GDPR) của châu Âu. Đối với cá nhân, PIPL sao chép nhiều ngôn ngữ giống như GDPR, theo Lee. Cả PILP và GDPR cho phép người dùng truy cập thông tin về họ, yêu cầu sửa đổi và xóa nó, và rút lại sự đồng ý của họ để thông tin của họ được xử lý bởi một công ty. Trong một số trường hợp, luật pháp rất giống nhau đến mức ngôn ngữ gần như giống nhau.

Đối với các công ty, có yêu cầu bảo vệ thông tin cá nhân của người dân. Các công ty hoạt động tại Trung Quốc bây giờ phải có một quan chức bảo vệ dữ liệu, một động thái đã tăng cường nhu cầu về các vai trò như vậy. Cũng được sao chép từ GDPR là khả năng bị phạt nặng nề: Nếu một công ty vi phạm PIPL, nó có thể bị phạt lên đến 50 triệu nhân dân tệ (7,8 triệu đô la) hoặc 5% doanh thu hàng năm của nó—tương đương với ngưỡng 23 triệu đô la và 4% của GDPR.

Điều hành PIPL là Bảo mật Mạng của Trung Quốc (CAC), cơ quan quản lý internet của đất nước, kiểm soát, trong số những điều khác, danh sách nguồn tin tức được phê duyệt. Báo cáo cho một cơ quan quản lý được hỗ trợ bởi nhà nước là một sự tương phản rõ ràng so với các cơ quan quản lý dữ liệu độc lập của châu Âu tồn tại trong từng quốc gia của khối. Trong khi thực thi GDPR đã chậm trễ, CAC có thể thể hiện một quan điểm nghiêm túc hơn đối với các công ty vi phạm luật của nó. CAC đã gửi đội ngũ để xem xét cách DiDi, ông lớn dịch vụ đặt xe, xử lý dữ liệu khi nó niêm yết công khai ở New York mùa hè này.

Khuyết điểm không thể tránh khỏi trong luật dữ liệu cá nhân của Trung Quốc là nó không ngăn chặn chính phủ từ việc truy cập thông tin cá nhân của công dân. Những người sống tại Trung Quốc vẫn sẽ là những người được giám sát và kiểm duyệt nhiều nhất trên hành tinh này. “Chính phủ Trung Quốc là mối đe dọa lớn nhất đối với quyền riêng tư cá nhân, và tôi không biết liệu họ sẽ bị ảnh hưởng bởi điều này,” nói Omer Tene, một đối tác chuyên sâu về dữ liệu, quyền riêng tư và an ninh mạng tại văn phòng luật Goodwin.

PIPL thực sự khác biệt từ các quy định dữ liệu khác bằng cách nó phản ánh những mục tiêu chính trị rộng lớn của đất nước áp dụng nó. “Nếu luật bảo vệ dữ liệu châu Âu dựa trên quyền cơ bản và luật quyền riêng tư Hoa Kỳ dựa trên bảo vệ người tiêu dùng, luật quyền riêng tư của Trung Quốc chặt chẽ liên quan và thậm chí có thể nói là dựa trên an ninh quốc gia,” nói Tene.

Thực tế, PIPL mở rộng yêu cầu trong Luật An ninh mạng của Trung Quốc rằng các công ty phải lưu trữ dữ liệu cá nhân trong nước. Các công ty viễn thông, vận tải, tài chính và các đơn vị khác được coi là cơ sở hạ tầng thông tin quan trọng đã phải làm như vậy. Nhưng yêu cầu này bây giờ áp dụng cho bất kỳ công ty nào thu thập một lượng nhất định, vẫn chưa được định nghĩa rõ ràng, của dữ liệu cá nhân. Sau khi Yahoo và LinkedIn rời đi, Apple hiện là một trong số ít các công ty công nghệ quốc tế nổi tiếng với mặt bằng ở Trung Quốc. Để giữ vị trí của mình trong thị trường cực kỳ sinh lời này, Apple trước đây đã phải thực hiện những nhượng bộ nghiêm túc đối với chính phủ Trung Quốc. Ở giai đoạn này, không rõ PIPL sẽ ảnh hưởng như thế nào đối với kinh doanh của Apple tại Trung Quốc.

Các công ty muốn chia sẻ dữ liệu ra khỏi Trung Quốc cũng phải trải qua một đợt xem xét an ninh quốc gia, theo lời James Gong, một đối tác đặt tại Trung Quốc của công ty luật Bird & Bird. Hướng dẫn riêng biệt được dịch bởi DigiChina tiết lộ rằng một loạt các công ty khác nhau có thể sẽ phải đối mặt với đợt xem xét an ninh quốc gia, bao gồm những công ty gửi dữ liệu quan trọng ra nước ngoài. Các công ty giữ dữ liệu của hơn một triệu người và muốn gửi thông tin ra nước ngoài cũng sẽ phải đối mặt với đợt xem xét. Bất kỳ công ty có quy mô vừa phải hoạt động trong và ngoài Trung Quốc đều có thể bị cuốn vào quy trình xem xét này.

Là một phần của đợt xem xét an ninh, các công ty phải nộp hợp đồng giữa họ và đối tác nước ngoài nhận dữ liệu và hoàn thành một tự đánh giá. Điều này bao gồm việc nêu rõ lý do dữ liệu được chuyển ra khỏi Trung Quốc, loại thông tin được gửi và các rủi ro đi kèm. Tất cả điều này kết hợp có thể tạo ra một số không chắc chắn đối với các công ty kinh doanh tại Trung Quốc, theo lời Gong. "Họ sẽ cần xem xét lại cơ cấu kinh doanh, quản lý và công nghệ thông tin hiện tại của họ và các chi phí liên quan.

Trong khi PIPL có thể buộc các công ty trong nước Trung Quốc cải thiện cách họ xử lý dữ liệu, nó cũng sẽ ảnh hưởng đến các quy tắc dữ liệu rộng rãi trên thế giới; có những khác biệt quan trọng giữa nó, GDPR và các phương pháp tiếp cận quyền riêng tư của Hoa Kỳ - đặc biệt là danh sách đen đối phó. "Chúng chỉ là các quy định chính trị", Lee nói. "Những quy định này không thể thấy trong bất kỳ đề xuất quyền riêng tư toàn cầu nào khác."

Tác động lớn nhất của luật quyền riêng tư mới của Trung Quốc - và sự quay trở lại bảo hộ chính trị của nó - có thể là ảnh hưởng của nó đối với các quốc gia khác đang phát triển chính sách bảo vệ dữ liệu riêng của họ, hoặc đang viết lại chúng cho thời đại số. "Chúng tôi lo ngại rằng các quốc gia khác ở châu Á có thể sẽ theo đuổi cách tiếp cận của Trung Quốc đối với các biện pháp địa phương hóa dữ liệu trong luật quyền riêng tư của họ", Lee nói. "Chúng tôi đã thấy, ví dụ, dự thảo quyền riêng tư của Ấn Độ và Việt Nam có một số biện pháp như vậy."

Những điều tuyệt vời từ Mytour

• 📩 Những thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
• Neal Stephenson cuối cùng đã đối mặt với biến đổi khí hậu toàn cầu
• Một sự kiện tia cosmic xác định vị trí đỗ của Viking tại Canada
• Làm thế nào để xóa tài khoản Facebook của bạn mãi mãi
• Nhìn vào sổ tay silic của Apple
• Muốn có một máy tính cá nhân tốt hơn? Hãy thử tự xây dựng máy của bạn
• 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ có với cơ sở dữ liệu mới của chúng tôi
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Kiểm tra sự chọn lựa của đội ngũ Gear chúng tôi về các bộ theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày dép và tất), và tai nghe tốt nhất