China mulai menetapkan sistem aturan untuk perlindungan informasi pribadi pada tahun 2012, dan sejak itu pemerintah dan pengadilan telah mengumumkan sejumlah aturan terkait.
Saat ini, China sedang menyusun Undang-Undang Perlindungan Informasi Pribadi. Di masa depan, Undang-Undang Perlindungan Informasi Pribadi akan membentuk sistem aturan perlindungan informasi pribadi China bersama dengan Kode Sipil, Undang-Undang Keamanan Siber, Undang-Undang Perlindungan Hak Konsumen, Undang-Undang Keamanan Data, dan peraturan administratif lainnya, interpretasi yudisial, dan peraturan departemen.
I. Hukum
1. KUH Perdata Tiongkok: Bagian IV Hak Kepribadian (2020)
Tiongkok menetapkan perlindungan informasi pribadi dalam bab lengkap KUH Perdata 2020, yaitu Bab 6 privasi dan perlindungan informasi pribadi di Bagian IV Hak Kepribadian KUH Perdata Tiongkok (dari Pasal 1032 hingga Pasal 1039).
Poin-poin penting dari bab ini adalah sebagai berikut:
(1) Orang perseorangan menikmati hak privasi. Tidak ada organisasi atau individu yang dapat melanggar hak privasi orang lain dengan memata-matai, mengganggu, mengungkapkan atau menerbitkan informasi yang relevan atau dengan cara lain (Pasal 1032 dan 1033).
(2) Informasi pribadi tentang orang perorangan harus dilindungi oleh undang-undang. (Pasal 1034)
(3) Informasi pribadi mengacu pada semua jenis informasi yang direkam secara elektronik atau lainnya yang dapat digunakan untuk mengidentifikasi secara mandiri atau digabungkan dengan informasi lain untuk mengidentifikasi orang perorangan tertentu, termasuk nama orang perseorangan, tanggal lahir, nomor ID, biometrik. informasi, alamat, nomor telepon, alamat email, informasi kesehatan, keberadaan, dll. (Pasal 1034)
(4) Pengolahan informasi pribadi harus terlebih dahulu mendapatkan persetujuan dari orang perseorangan atau walinya, dan tidak melanggar undang-undang, peraturan administratif, atau perjanjian kedua belah pihak. (Pasal 1035)
(5) Pemrosesan informasi pribadi termasuk pengumpulan, penyimpanan, penggunaan, pemrosesan, transmisi, penyediaan dan pengungkapan informasi pribadi, dll. (Pasal 1035)
(6) Pengolah informasi tidak boleh membocorkan atau merusak informasi pribadi yang dikumpulkan dan disimpan olehnya. Tanpa persetujuan dari orang perseorangan, pemroses informasi tidak akan secara ilegal memberikan informasi pribadi orang tersebut kepada orang lain, kecuali untuk informasi yang telah diproses sehingga orang tersebut tidak dapat diidentifikasi dan yang tidak dapat dipulihkan. ( Pasal 1038)
2. Undang-Undang Perlindungan Informasi Pribadi Tiongkok (Draf) (2020)
Badan legislatif China, Komite Tetap Kongres Rakyat Nasional, sedang menyusun Undang-Undang Perlindungan Informasi Pribadi, dan draf tersebut diterbitkan pada 12 Oktober 2020. Sampai sekarang, draf tersebut belum dipilih.
Pokok-pokok dari undang-undang ini adalah sebagai berikut:
(1) Undang-undang ini tidak hanya berlaku untuk pemrosesan informasi pribadi orang perseorangan atau individu mana pun di Tiongkok, tetapi juga untuk aktivitas spesifik pemrosesan informasi pribadi orang perseorangan di Tiongkok di luar Tiongkok. (Pasal 1)
(2) Informasi pribadi yang sensitif dilindungi secara khusus. Informasi ini termasuk ras, etnis, agama, karakteristik biologis pribadi, kesehatan medis, rekening keuangan, keberadaan pribadi. (Pasal 29)
(3) Pemroses informasi hanya dapat memproses informasi pribadi yang sensitif dalam kondisi berikut: (1) Mereka harus menggunakan informasi dalam keadaan tertentu; (2) Mereka telah memperoleh persetujuan khusus dari individu yang terlibat dalam informasi tersebut. (Pasal 29, Pasal 30)
(4) Jika pengolah informasi perlu memberikan informasi pribadi di luar Tiongkok, ia harus mendapatkan persetujuan dari otoritas pengatur. (Pasal 38)
(5) Dalam bantuan peradilan internasional, jika pemroses informasi perlu memberikan informasi pribadi di luar Tiongkok, mereka harus mendapatkan persetujuan dari otoritas terkait. (Pasal 41)
(6) Ketika informasi pribadi yang diproses oleh pemroses informasi mencapai jumlah tertentu, ia harus menunjuk orang tertentu sebagai orang yang bertanggung jawab atas perlindungan informasi pribadi. Orang yang bertanggung jawab akan mengawasi aktivitas pemrosesan informasi pribadinya dan tindakan perlindungannya. (Pasal 51)
(7) Jika pengolah informasi melanggar undang-undang ini, tidak hanya pendapatan ilegal akan disita, tetapi juga denda kurang dari 50 juta yuan atau kurang dari 5% dari omset tahun sebelumnya akan dikenakan. (Pasal 62) Sejauh ini, ini seharusnya menjadi denda tertinggi di semua hukum Tiongkok.
3. Hukum Keamanan Siber Tiongkok (2017)
Bagian keempat dari undang-undang ini, keamanan informasi jaringan, mengatur kewajiban operator jaringan untuk melindungi informasi pribadi pengguna, seperti:
Operator jaringan harus menjaga kerahasiaan informasi pengguna yang mereka kumpulkan, dan tidak akan mengungkapkan, merusak, atau menghancurkan informasi pribadi yang mereka kumpulkan; mereka tidak akan memberikan informasi pribadi kepada orang lain tanpa persetujuan dari orang yang dikumpulkan. (Pasal 40, Pasal 42)
Operator jaringan tidak boleh mengumpulkan informasi pribadi yang tidak relevan dengan layanan yang mereka sediakan. Mereka harus menyatakan dengan jelas tujuan, metode, dan ruang lingkup pengumpulan dan penggunaan informasi, dan mendapatkan persetujuan dari orang yang dikumpulkan. (Pasal 41)
4. Keputusan Penguatan Perlindungan Jaringan Informasi (2012)
Keputusan tersebut menetapkan, untuk pertama kalinya di China, aturan pengumpulan dan penggunaan informasi pribadi dan kewajiban penyedia layanan jaringan untuk melindungi informasi pribadi. Semua undang-undang China tentang keamanan jaringan dan perlindungan informasi pribadi dapat ditelusuri kembali ke ketentuan ini.
II. Aturan departemen
1. Ketentuan tentang Perlindungan Cyber Informasi Pribadi Anak (2019)
Ketentuan ini bertujuan untuk melindungi keamanan informasi pribadi anak-anak (yaitu anak di bawah umur di bawah 14 tahun) dengan mengawasi pengumpulan, penyimpanan, penggunaan, transfer, dan pengungkapan informasi pribadi anak-anak melalui Internet di dalam wilayah China.
Tindakan ini bertujuan untuk memberikan referensi bagi otoritas pengatur untuk menentukan pengumpulan ilegal dan penggunaan informasi pribadi oleh Aplikasi, dan memberikan panduan bagi operator Aplikasi untuk pemeriksaan diri dan koreksi diri serta pengawasan sosial dari pengguna Internet.
3. Ketentuan tentang Melindungi Informasi Pribadi dari Telekomunikasi dan Pengguna Internet (2013)
Ketentuan menetapkan bahwa: (1) Penyedia layanan harus mempublikasikan aturan tentang pengumpulan dan penggunaan informasi pribadi. (2) Tanpa persetujuan pengguna, penyedia layanan tidak boleh mengumpulkan informasi pribadi pengguna, dan mereka hanya dapat mengumpulkan informasi yang diperlukan untuk penyediaan layanan. (3) Penyedia layanan harus mencegah kebocoran, kerusakan, gangguan atau kehilangan informasi pribadi pengguna.
VI. Interpretasi yudisial
Ketentuan tersebut bertujuan untuk menafsirkan Pasal 36 Undang-Undang Tort RRT, yaitu, dalam keadaan apa pengguna jaringan dan penyedia layanan jaringan harus menanggung kewajiban kerugian jika mereka menggunakan jaringan untuk melanggar hak-hak sipil dan kepentingan orang lain.
Pasal 36 Undang-Undang Tort menetapkan bahwa pengguna jaringan dan penyedia layanan jaringan yang menggunakan jaringan untuk melanggar hak-hak sipil orang lain harus menanggung tanggung jawab kerugian.
Perlu dicatat bahwa, Setelah KUH Perdata Tiongkok 2020 diberlakukan, Undang-Undang Tort dicabut. KUH Perdata Tiongkok: Bagian VII Kewajiban Penyiksaan memberikan peraturan yang lebih rinci tentang pelanggaran dunia maya dalam Pasal 1194, Pasal 1195, Pasal 1196, dan Pasal 1197.
V. Standar Teknis
1. Spesifikasi keamanan informasi pribadi (PI) - Standar Nasional China (2020) 信息 安全 技术 个人 信息 安全 规范
Foto oleh Road Trip dengan Raj (https://unsplash.com/@roadtripwithraj) di Unsplash