作者:黃沛聲律師、李蒂娜律師
2020年10月13日,中華人民共和國個人信息保護法(草案)(下稱“本法”)首次提請人大常委會審議,並於2020年10月21日公佈徵求意見。本法共70條,沒意外的話在通過後,將成為中華人民共和國首部關於個人資料的保護專法,意義重大。
本法是中華人民共和國民法總則第111條的具體規定。該條明定,中華人民共和國的自然人「個人資料」受法律保護。任何組織或者個人需要獲取他人個人資料,應依法取得並確保個人資料安全,不得非法收集、使用、加工、傳輸他人個人資料,不得非法買賣、提供或者公開他人個人資料。
以下簡單介紹本法重點,並以「電商平臺」為例簡要說明,希望能有助於將面對中國市場之臺灣新創提前準備。
境外處理也適用
一般而言,法律通常只適用於國境之內,稱之為屬地原則或地域管轄,但在有特殊法益需要保護的情況下,也適用于境外行為,美國法稱之為長臂管轄(long arm jurisdiction)。本法第3條規定,基於以下原因之一,在境外處理境內自然人個人資料者,也有本法的適用:
- 以向境內自然人提供產品或者服務為目的;
- 為分析、評估境內自然人的行為;
- 法律、行政法規規定的其他情形。
由於要收集個資的企業基本上沒有不會進行分析的,因此根據這個規定,境外適用的範圍非常非常大。大概可以說臺灣電商提供產品或服務的企業(或個人)以將產品或服務提供給在大陸的個人為目的,而收集個資的企業都會適用。縱使處理收集的是在大陸的台灣人也一樣適用,伺服器在不在中國都一樣。因此,縱使在境外的台灣業者,只要有收集中國人的個資,就應該準備好適用中國個人信息保護法,否則未來只要有任何財產在中國就有機會扣押,並且進行處罰。
處理的合法基礎
1. 處理一般個人資料:
本法第13條共規定6種合法基礎,除了「取得個人同意」外,其他5種包括「履行契約所必需」,「履行法定職責或者法定義務所必需」,「因突發公衛事件或緊急情況為保護自然人的生命健康和財產安全所必需」,「為公共利益進行新聞報導」或「從事輿論監督等行為在合理的範圍內處理個人資訊及法律、行政法規規定的其他情形」。(詳參第13條)
例如,在電商平臺購買商品,提供姓名、送貨位址、電話等個人資料,賣家即便沒取得買家的同意,也可以履行契約所必需使用個人資料用來交付商品等等行為。
在這點上,中國法律的特色顯現在「輿論監督」這點上,也可以合法使用個資,不算違法。十分特別!
2. 處理敏感性個人資料:
(1)敏感性個人資料包括種族,民族,宗教信仰,個人生物特徵,醫療健康,金融帳戶,個人行蹤等一旦洩露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人資料。(詳參第29條第2項)
(2)處理此類個人資料必須在「有特定目的和充分必要性」的情況下,經「個人的單獨同意」,如法律或行政法規規定需要書面還需有書面同意,同時除了告知處理一般個人信息需告知的事項外,還必須將處理的必要性及對個人的影響告知個人(詳參第29條到第31條)。
(3)例如,目前有許多線上健康服務平臺(如控制血糖等),此類平臺除處理一般個人資訊外,也會處理到涉及醫療、健康的敏感性個人資料。平臺經營者除檢視有無第13條的合法基礎及告知相關事項外,同時也必須就處理敏感性個人資訊取得個人的單獨同意及告知處理的必要性及對個人的影響,例如,提供相關健康檢查報告資料方能對血糖進行監控。
個人資料跨境傳輸
針對在中國所收集的個人信息,是否能傳輸離開中國?本法採取「原則禁止例外許可」的規範模式。也就是說,原則上中國人的個人資料不能離開中國。
例外在有業務需要,且有以下4種條件之一,包括「經過國家安全評估」,「取得經專業機構的個人資料保護認證」,「與境外接收方訂立合同並監督處理達到本法規定的標準」或「符合其他國家規定」的條件,才可以進行跨境傳輸個人資料(詳參第38條)。
此外,需向個人告知將何種個人資料提供與何人,聯絡方式,如何處理,目的為何以及個人在資訊處理活動中有何權利(詳參第4章),並且就跨境傳輸取得單獨同意。
例如,臺灣的電商平臺因為業務需要,有意將在中國的伺服器取得的中國人民共和國境內自然人個人資料交由在台灣或其他國家境內的企業伺服器處理,就必須有上述4種條件之一,且必須告知上述相關資訊並另外取得跨境傳輸的同意。
由於上述例外可以跨境傳輸的四種狀況,台灣企業恐怕都難以達到,因此無法跨境傳輸個人資料。這一點的重要影響是,未來台灣企業的原本以中國子公司在中國設置的伺服器營運在中國的電商平台,若是有收集到任何的中國人民個資,都不能傳出中國,否則違法。因此要進行什麼大數據研發、人工智能訓練等等,恐怕都得要在中國境內進行。此點對於企業的資源分配與佈局可能影響極大。
更重要的是,在境外伺服器所收集到的在大陸的中國人或台灣人的個資,理論上依據長臂管轄仍然要遵守本法的規定,除非經過本人的同意等等否則不能進行額外的利用,否則也屬於違法。
處罰
若是違反相關規定,先責令改正,沒收違法所得,給與警告,拒不改正,並處人民幣100萬以下罰款,對直接負責人員處1萬元以上10萬元以下罰款。
情節嚴重的,責令改正,沒收違法所得,並處5000萬以上或者上一年度營業額百分之5的罰款,並可責令停業。對直接負責人員處10萬元以上100萬元以下罰款。
現況思考
雖然今年因為疫情,兩岸經貿往來交往不活絡,但是由於電商不需要實體接觸,受疫情影響的情形較為輕微,仍然有許多人投入兩岸的網路新創與電商平臺營運,因此簡要介紹這部中國個資法,希望能讓臺灣電商平臺及早做好因應準備!
