China comenzó a establecer un sistema de reglas para la protección de la información personal en 2012 y, desde entonces, el gobierno y los tribunales han promulgado una serie de reglas relacionadas.
Actualmente, China está redactando una ley de protección de la información personal. En el futuro, la Ley de Protección de la Información Personal formará el sistema de reglas de protección de la información personal de China junto con el Código Civil, la Ley de Ciberseguridad, la Ley de Protección de los Derechos del Consumidor, la Ley de Seguridad de Datos y otras regulaciones administrativas, interpretaciones judiciales y regulaciones departamentales.
I. Leyes
1. Código Civil de China: Parte IV Derechos de la personalidad (2020)
China estipula la protección de la información personal en el capítulo completo del Código Civil de 2020, es decir, el Capítulo 6 sobre la privacidad y protección de la información personal en la Parte IV Derechos de la personalidad del Código Civil de China (del artículo 1032 al artículo 1039).
Los puntos clave de este capítulo son los siguientes:
(1) Una persona física gozará del derecho a la intimidad. Ninguna organización o individuo puede infringir el derecho a la privacidad de cualquier otra persona mediante el espionaje, la intrusión, la divulgación o publicación de la información relevante o por cualquier otro medio (artículos 1032 y 1033).
(2) La información personal sobre las personas físicas estará protegida por las leyes (artículo 1034).
(3) La información personal se refiere a todo tipo de información registrada por medios electrónicos o de otro tipo que se puede utilizar para identificar de forma independiente o combinarse con otra información para identificar a una persona física específica, incluidos los nombres de la persona física, fecha de nacimiento, números de identificación, datos biométricos información, direcciones, números de teléfono, dirección de correo electrónico, información de salud, paradero, etc. (artículo 1034)
(4) El procesamiento de información personal deberá obtener primero el consentimiento de la persona física o de su tutor, y no violará las leyes, los reglamentos administrativos o los acuerdos de ambas partes. (Artículo 1035)
(5) El procesamiento de información personal incluye la recopilación, almacenamiento, uso, procesamiento, transmisión, provisión y divulgación de información personal, etc. (Artículo 1035)
(6) Un procesador de información no divulgará ni alterará la información personal que recopile y almacene. Sin el consentimiento de la persona física, el procesador de información no proporcionará ilegalmente la información personal de dicha persona física a ninguna otra, excepto la información que haya sido procesada para que la persona específica no pueda ser identificada y que no pueda recuperarse. ( Artículo 1038)
2. Ley de protección de la información personal de China (borrador) (2020)
La legislatura de China, el Comité Permanente del Congreso Nacional del Pueblo, está redactando el borrador de la Ley de Protección de la Información Personal, y el borrador se publicó el 12 de octubre de 2020. Hasta ahora, el borrador no ha sido votado.
Los puntos clave de esta ley son los siguientes:
(1) Esta ley no solo es aplicable al procesamiento de información personal de personas físicas en China por parte de cualquier entidad o individuo, sino también a actividades específicas de procesamiento de información personal de personas físicas en China fuera de China. (Articulo 1)
(2) La información personal sensible está especialmente protegida. Esta información incluye raza, etnia, religión, características biológicas personales, salud médica, cuentas financieras, paradero personal. (Artículo 29)
(3) Los procesadores de información solo pueden procesar información personal sensible bajo las siguientes condiciones: (1) Deben usar la información bajo ciertas circunstancias; (2) Han obtenido el consentimiento específico de las personas involucradas en la información. (Artículo 29, artículo 30)
(4) Si el procesador de información necesita proporcionar información personal fuera de China, deberá obtener la aprobación de la autoridad reguladora. (Artículo 38)
(5) En la asistencia judicial internacional, si los procesadores de información necesitan proporcionar información personal fuera de China, deben obtener la aprobación de las autoridades pertinentes. (Artículo 41)
(6) Cuando la información personal procesada por el procesador de información alcanza una cierta cantidad, debe designar a una determinada persona como responsable de la protección de la información personal. El responsable supervisará sus actividades de tratamiento de información personal y medidas de protección. (Artículo 51)
(7) Si el procesador de información viola esta ley, no solo se confiscarán los ingresos ilegales, sino que también se impondrá una multa de menos de 50 millones de yuanes o menos del 5% de la facturación del año anterior. (Artículo 62) Esta debería ser la multa más alta de todas las leyes chinas hasta ahora.
3. Ley de ciberseguridad de China (2017)
La cuarta parte de esta ley, seguridad de la información de la red, estipula la obligación de los operadores de red de proteger la información personal de los usuarios, tales como:
Los operadores de red mantendrán la confidencialidad de la información del usuario que recopilen y no divulgarán, alterarán ni destruirán la información personal que recopilen; no proporcionarán información personal a otros sin el consentimiento de la persona que se recopila. (Artículo 40, artículo 42)
Los operadores de red no deben recopilar información personal irrelevante para los servicios que brindan. Deben indicar claramente el propósito, el método y el alcance de la recopilación y el uso de la información, y obtener el consentimiento de la persona que se recopila. (Artículo 41)
4. Decisión sobre el fortalecimiento de la protección de la información de la red (2012)
La Decisión establece, por primera vez en China, las reglas para la recopilación y el uso de información personal y las obligaciones de los proveedores de servicios de red para proteger la información personal. Toda la legislación de China sobre seguridad de la red y protección de la información personal se remonta a esta disposición.
II. Regla departamental
1. Disposiciones sobre la protección cibernética de la información personal de los niños (2019)
Las Disposiciones tienen como objetivo proteger la seguridad de la información personal de los niños (es decir, menores de 14 años) mediante la supervisión de la recopilación, el almacenamiento, el uso, la transferencia y la divulgación de información personal de los niños a través de Internet dentro del territorio de China.
Las Medidas tienen como objetivo proporcionar una referencia a las autoridades reguladoras para determinar la recopilación y el uso ilegal de información personal por parte de las Aplicaciones, y proporcionar orientación a los operadores de la Aplicación para el autoexamen y la autocorrección y la supervisión social de los usuarios de Internet.
Las Disposiciones estipulan que: (1) Los proveedores de servicios deberán publicar las reglas sobre la recopilación y uso de información personal. (2) Sin el consentimiento de los usuarios, los proveedores de servicios no recopilarán la información personal de los usuarios y solo podrán recopilar la información necesaria para la prestación del servicio. (3) Los proveedores de servicios evitarán la fuga, el daño, la manipulación o la pérdida de la información personal de los usuarios.
VI. Interpretación judicial
Las Disposiciones tienen como objetivo interpretar el artículo 36 de la Ley de responsabilidad civil de la República Popular China, es decir, en qué circunstancias los usuarios de la red y los proveedores de servicios de red deben asumir la responsabilidad extracontractual si utilizan la red para infringir los derechos e intereses civiles de otros.
El artículo 36 de la Ley de agravios estipula que los usuarios de la red y los proveedores de servicios de red que utilicen la red para infringir los derechos civiles de otros serán responsables de agravios.
Vale la pena señalar que, después de la entrada en vigor del Código Civil de 2020 de China, la Ley de Daños fue derogada. El Código Civil de China: la Parte VII Responsabilidad por agravio proporciona regulaciones más detalladas sobre la infracción cibernética en el artículo 1194, el artículo 1195, el artículo 1196 y el artículo 1197.
V. Norma técnica
1. Especificación de seguridad de la información personal (PI) - Estándar nacional de China (2020) 信息 安全 技术 个人 信息 安全 规范
Foto de Road Trip con Raj (https://unsplash.com/@roadtripwithraj) en Unsplash