撰文：王慕民 律師

審閱：葉奇鑫 律師

許    斌 博士

 

全文約3000字，閱讀約需10分鐘

 

號稱「史上最嚴個資法」的《中華人民共和國個人信息保護法》（以下簡稱中國個資法），今年8月新鮮三讀，11月1日已正式施行。

我們在這部法律剛剛通過之時，已經為大家解讀過台灣企業超前部署的因應重點。在此後的兩個多月裡，中國個資法的配套法規逐漸成型。10月29日，中國互聯網主管機關「國家互聯網信息辦公室」（網信辦）公告《數據出境安全評估辦法》草案，並公開徵求意見。

 

這份安全評估辦法，將是未來中國個資的跨境傳輸的核心指引之一。這篇文章裡，我們將結合這份最新公布的辦法草案，為大家勾勒中國個資跨境傳輸的實務樣貌。

 

不確保安全，就不許跨境傳輸

中國個資法導入歐盟GDPR個資跨境傳輸「適足保護」的理念，要求個資向境外提供前，須具備該法第38條規定的安全措施條件之一。無論你是想要把中國員工或客戶的個資傳輸到台灣總部，還是因為與中國業者配合而需要接收中國個資，都將直接或間接落入這一規範的射程範圍。

 

中國個資法和歐盟GDPR的個資境外傳輸安全維護措施對比如下表：

可以看出，歐盟GDPR中著名的個資保護適足性認定，在中國個資法中並無對應制度。也就是說，中國與其他國家/地區間是否會建立個資自由流動機制，在中國個資法中並沒有直接規範。

 

但另一方面，中國個資法也沒有否認個資自由流動的可能性。該法第12條要求中國政府推動與其他國家、地區等進行個資保護規則互認。若與某一國家互認後，再搭配上表第4項的條件，由網信辦規定個資得自由傳輸至該國，將實現與歐盟適足性認定相類似的效果。

 

數量越高，責任越大，個資出境須通過事前安全評估

為強化落實個資保護，中國個資法在境外傳輸適足保護的基礎上更進一步，明文規定資料「在地化」要求。若業者：

• 被認定為關鍵信息基礎設施運營者，或
• 處理個資達到網信辦規定數量，

則應當將在中國境內蒐集的個資儲存在境內。若確需向境外提供，則必須通過網信辦的安全評估。

 

你可能會想問，「網信辦規定的數量」到底是多少？網信辦在安全評估辦法草案裡，列出了因為數量而必須安全評估的兩種情景：

• 處理個資達一百萬人的處理者實施個資跨境傳輸，或
• 累計向境外提供超過十萬人以上個資或者一萬人以上敏感個資。

 

雖然這僅僅是草案版本，但我們仍可以得出一些觀察：

• 網信辦所稱的「數量」，是以個資「當事人」的人數為標準，似乎並不考慮針對單一當事人所處理的個資數量。舉例而言，若你計劃向境外傳輸10萬人的個資，無論這批個資僅包含每個當事人的姓名和電話號碼，還是包含足以完整瞭解每個人狀況的各類資料，似乎都不影響你在跨境傳輸前，向網信辦「申報安全評估」的義務。當然，網信辦在作出評估決定時，是否會考量單一當事人的個資數量，將是另一個問題。
• 若體量夠大（處理超過100萬人的個資），似乎無論所傳輸個資的數量、性質或目的，皆須向網信辦申報安全評估。舉個極端的例子，若符合這一條件的業者，偶然需要向境外傳輸少數幾個客戶的個資，似乎仍須踐行事前安全評估程序。未來網信辦會否針對此類業者規定豁免評估事由，是一個值得觀察的議題。
• 向境外提供個資累計到一定數量（10萬人的一般個資、1萬人的敏感個資），就要開始承擔安全評估義務。網信辦所稱的「累計」，似乎並無時限要求（例如一年內），也不區分境外接收方是否相同。此外，台灣企業還應注意，中國個資法上的「敏感個資」範圍很廣，金融帳戶、行蹤軌跡等台灣法下的一般個資，依中國個資法也屬敏感。

 

安全評估的程序、標準和效力

本次安全評估辦法草案雖不是網信辦第一次就數據出境提出安全評估框架，但跟以往的草案版本相比，網信辦本次配合中國個資法規範，對評估的程序、標準和效力設定了諸多細部規範：

• 評估的執行機關：本次草案明確，安全評估由「國家網信部門」，亦即網信辦執行（境內處理者透過省級網信部門轉遞申報請求），這與2019年草案由省級網信部門執行評估、2017年草案由各行業主管機關執行評估有很大不同。
• 申報評估前須先風險自評：本次草案要求境內處理者在申報評估前，先執行出境風險自評，並將自評報告列作申報評估所需資料之一。草案並詳細列舉風險自評的六大重點面向。雖然個資處理者擬向境外傳輸個資時，本就須依中國個資法第55條和第56條執行事前個資保護影響評估，但草案所列風險自評的內容，似乎比中國個資法更加詳盡。
• 評估標準納入「適足性」考量：本次草案所列評估事項之一，是接收方的個資保護水平「是否達到中華人民共和國法律、行政法規規定和強制性國家標準的要求」。換言之，中國個資法的規範，將間接適用於中國個資的境外接收方。
• 傳輸契約為評估重點對象：境內處理者與境外接收方關於個資境外傳輸的契約，也是本次草案所列評估事項之一。本次草案還進一步就契約內容訂定要求，包括應約定境外接收方情事變化時的安全措施、違反安全保護義務之違約責任等，都是台灣個資法上不常見的規範，值得特別留意。
• 評估結論最長有效兩年，情況變化須重新評估：依本次草案，評估結論有效期為2年，但如發生實質變動，例如個資的處理目的變化、保存期限延長、境外接收方所處法律環境變化等，則須停止出境活動並重新申報評估。

 

依法不須安全評估，認證、標準契約條款至少二擇一

若個資境外傳輸依中國個資法無須執行事前安全評估，則除法律、行政法規或網信辦另有規定，或國際條約另有約定外，應在「專業機構個資保護認證」、「訂立標準契約條款」兩項措施中，至少執行一項。

 

從前文表格可以看出，中國個資法所稱「按照網信辦規定經專業機構進行個人信息保護認證」，似乎是對應歐盟GDPR第42條的認證（certification）制度。但在個資跨境傳輸時，由哪一方負責取得認證、如何取得認證、有權執行認證的專業機構有哪些等，目前尚無明確規範。

 

「網信辦制定的標準契約條款」，則對應歐盟GDPR的標準契約條款（Standard Contractual Clauses, SCC）。雖然網信辦目前尚未公布標準契約條款全文，但可以預期本次安全評估辦法草案所列的傳輸契約內容，也會出現在日後的標準契約條款中。此外，歐盟執委會於今年6月頒行最新版本的GDPR標準契約條款。網信辦在制定標準契約條款時，或許也會以此作為參考。

 

不止安全維護：當事人同意、個資保護影響評估與境外接收方監督

中國個資法關於個資境外傳輸的限制，並不僅限於安全維護措施。依該法第39條，境內處理者實施個資跨境傳輸，必須向個資當事人告知境外接收方的相關資訊，包含可以向境外接收方行使中國個資法上的權利，並取得當事人「單獨」同意。此前2019年和2017年版本的數據出境安全評估辦法草案中，「當事人同意」都被列作評估對象之一。本次草案中，則未見相關明文。網信辦日後是否將引入當事人同意評估要素，值得留意。

 

前文已提及，個資處理者擬向境外傳輸個資時，須依中國個資法第55條和第56條執行事前個資保護影響評估。應當留意，這一義務與申報網信辦安全評估的義務彼此獨立，適用於一切境內處理者。

 

此外，中國個資法第38條第3項還要求境內處理者應當採取必要措施，確保境外接收方的個資處理活動，達到該法規定的個資保護標準。這似乎意味著，僅訂立處理契約並不足夠，境內處理者還須對境外接收方的活動進行「持續監督」。2019年版本的數據出境安全評估辦法草案中，明確規定在個資當事人無法從境外接收者獲得賠償時，由境內處理者先行賠付。中國個資法通過後，如境外接收方侵害個資權益，當事人能否援用第38條的規定，直接向境內處理者主張賠償責任，還有待觀察。

 

※歡迎註明出處後轉載。

---