諮詢預約 有鑒於國際對隱私法規及資訊管理日益重視之發展趨勢,中國全國人大常委會於2021年8月20日通過《中華人民共和國個人信息保護法》(下稱中國個保法),並已於2021年11月1日正式實施。本部法律最引人矚目處,係導入歐盟GDPR所採用之域外效力規範,使未於中國境內設點之企業亦同受此法拘束。舉凡於中國境外提供中國境內消費者商品或服務,抑或是於中國境外分析、評估中國境內人民之行為,均落入本法管轄範圍之內。由於我國現行個資法與中國個保法差異不小,企業相關法遵措施未必皆能符合中國個保法之規定,因此與中國頻繁往來之台灣企業,即有必要密切關注本法於個資處理實務方面之影響,並預作法遵準備。
本文擬整理數項中國個保法重點,供企業進行法遵整備參考:
一、處理個資前,應以「顯著方式」、「清晰易懂的語言」向當事人踐行應告知事項:
企業應向當事人揭露身份及聯絡方式,說明處理個資之目的、方式、種類及保存期限,及當事人行使個資權利之方式和程序,若有其他法律、行政規定應告知事項,亦應向當事人說明[1]。企業應注意者係台灣現行個資法並並未就應告知事項明文「顯著方式」、「清晰易懂語言」此類規範,因應上或有所不及,應全面檢視企業蒐集個資踐行告知是否足夠簡明清晰,使受眾容易理解,而能符合中國個保法之要求。
二、未滿14歲之自然人個資屬於敏感個資:
中國個保法特別指出未滿14歲之自然人個資為敏感個資,企業處理個資若有涉及未滿14歲兒童、青少年之情形,須嚴格檢視目的及必要性,採取嚴格保護措施,踐行應告知事項,並應取得其父母或其他監護人之同意。除此之外,針對未滿14歲自然人資料之處理,企業並應訂定專門之個資處理規則[2]。相較之下,台灣個資法目前並未以較嚴謹標準規範未成年人資料之處理,台灣企業若有處理中國境內兒童、青少年資料之需求,需特別注意中國個保法相關規範,避免違法。
三、個資可攜權之導入:
因應國際資訊自主權之趨勢,中國個保法亦導入台灣現行個資法所無之個資可攜權,允許當事人於符合中國網信部門所定之條件時,得請求企業提供移轉個資至其指定之其他個資處理者之途徑[3]。由於台灣個資法並未有資料可攜權之規定,企業相關整備應仍不足,應盡快評估如何於技術上發展得因應個資可攜權實踐之措施,如以通用格式儲存資料、於機器可讀性方面預作技術準備等等。
四、運用個資進行自動化決策,需注意透明度及公平公正性:
中國個保法要求企業利用個資進行自動化決策時,應確保決策之透明度及公平、公正性,並不得據結果對當事人實施不合理之差別待遇。同時,透過自動化決策方式向當事人推送資訊及商業行銷時,應同時提供其他不針對個人特徵分析而得之選項,並提供當事人便利之拒絕方式。此外,當事人亦有權要求企業說明如何根據自動化決策做成重大影響其個人權益之決定,及拒絕企業僅採用自動化方法做成決策[4]。
由於大數據科技之普及,中國企業有根據數據分析結果向個人提供不同交易條件之情況,舉例而言,給予新客較多優惠,而以較高之交易價格向老客戶締約。為避免自動化決策影響個人之權益,中國個保法遂訂立相關規範。台灣個資法目前未就自動化決策予以規範,因此企業面對此個資新興條款或有準備不足之處,若有運用數據分析協助商業決策之台灣企業,應多留心本條內容。
五、人臉識別資訊僅得基於維護公共安全之目的而使用:
中國個保法規定,於公共場所安裝圖像採集、個人身份識別設備,應遵守國家相關規定,並設置明顯提醒標誌。所蒐集之資訊亦僅能用於維護公共安全之目的,不得用於其他目的,除非取得個人單獨同意[5]。若台灣企業業務上有運用相關設備之情形,須留意本條規範。
六、跨境提供個資之嚴格要件:
企業若因業務需求須將中國境內儲存之個資傳輸至境外,則須符合中國個保法所規範之特定條件,包含通過中國網信部門之安全評估、經專業機構進行個資保護認證、依中國政府公佈之標準契約條款與境外接收方訂立契約規範雙方之權利義務等。同時,企業並應告知當事人境外接收方之相關資訊,說明其所得行使之個資權利,並取得其單獨同意[6]。
需特別注意的是,若處理個資之規模達中國網信部門所規範之程度,則除非通過中國網信部門之安全評估,否則不得傳輸資料,僅得儲存於中國境內[7]。若企業有大量傳送資料於跨國部門之需求,需特別注意本條規範。
七、個資處理達一定規模需指定個資保護負責人:
企業處理個資若達中國網信部門所規定之規模時,需指定個資保護負責人,負責監督個資處理及相關個資保護措施,並將負責人之資料報送主管機關[8]。
八、境外企業須於中國設定個資專門機構或指派個資代表:
目前未於中國設點之台灣企業,若於中國境外「向其境內自然人提供商品或服務」,又或「分析、評估中國境內自然人之行為」,即落入中國個保法之管轄範圍,須於中國境內設立個資專門機構或指派個資代表,負責處理個資保護相關事務,並應將機構名稱或代表之資料報送中國主管機關[9]。
九、須進行個資保護影響評估:
台灣企業處理中國境內自然人個資,於符合特定情形時,應事先進行個資保護影響評估,確認處理目的及方式等是否合法、正當、必要,評估對個人權益造成之影響及風險,並採取與風險相對稱之保護措施。包括處理本法第28條所規範之敏感個資,以個資進行自動化決策,委託處理個資或向其他個資處理者提供、公開個資,向境外提供個資,及其他於個人權益有重大影響之個資處理[10]。
十、違反中國個保法之責任[11]
除審視中國個保法所提出之各項個資規範外,其罰則無疑亦係企業所密切關注者。中國個保法依違法情節之輕重區分違反本法之責任。輕者限期改正、給予警告、沒收違法所得,若運用違法處理個資之應用程式,並責令暫停或終止服務。若拒不改正則處人民幣一百萬元以下罰款,此外,對直接負責之主管人員和其他直接負責人員,亦可處一萬元以上十萬元人民幣以下罰款。
若情節嚴重,則除限期改正、沒收違法所得外,並得處人民幣五千萬元以下或者上一年度營業額百分之五以下罰款,並可責令其暫停業務、停業整頓、吊銷業務許可或營業執照。對直接負責之主管人員和其他直接負責人員,則得處人民幣十萬元以上一百萬元以下罰款,並可禁止其於一定期限內擔任相關企業之董事、監察人、高級管理人員及個資負責人。
概言之,違反本法固然可能招致鉅額罰款,然停業、吊銷執照、影響未來從業,於企業及企業主影響更為嚴重,不可不慎重看待。
中國個保法來勢洶洶,實施後對於兩岸企業之衝擊及挑戰值得追蹤觀察,有處理中國自然人個資需求之企業亦應預作整備,規劃法遵整備,方能強化企業體質,應對資料時代之規範挑戰。
[1] 中國個保法第17條。
[2] 中國個保法第28條;中國個保法第31條。
[3] 中國個保法第45條。
[4] 中國個保法第24條。
[5] 中國個保法第26條。
[6] 中國個保法第38條;中國個保法第39條。
[7] 中國個保法第40條。
[8] 中國個保法第52條。
[9] 中國個保法第53條。
[10] 中國個保法第55條。
[11] 中國個保法第66條。