熱門文章

【重磅】中國大陸個資專法全文首次公開,達文西獨家解讀草案看點

撰文:許    斌 博士

審閱:葉奇鑫 律師

王慕民 律師

 

全文約1800字,閱讀約需7分鐘

 

在第21期和第22期「個資週報」中,我們連續為大家關注了中國大陸個資專法之立法進展。2020年10月13日至17日,中國大陸全國人民代表大會常務委員會(以下簡稱「人大常委會」)召開第22次會議。大陸個資專法—《個人信息保護法》草案(以下簡稱《草案》)於本次會期送交人大常委會初審。

 

會期結束後,全國人大常委會於10月21日公布《草案》全文(註1),向社會公開徵求意見。這是中國大陸首次釋出個資保護專法。《草案》分為8章,共70個條文。我們將帶大家速覽本次草案有哪些看點。

 

●    借鏡歐盟的整體框架

 

歐盟2016年通過、2018年施行之GDPR堪稱當前最為進步、影響最大的個資保護專門性法規,是世界各國個資修法的重要參考。《草案》所確立之個資保護整體框架,亦有滿滿的GDPR「既視感」。

 

例如,適用範圍方面,《草案》第3條規定該法之域外適用效力、第68條排除該法對個人與家庭活動之適用。個資保護原則方面,《草案》第5條至第9條規定個資處理應遵循合法正當、依其目的最小化、公開透明、準確性、保障安全等原則。這些都與GDPR類似。

 

又如,個資保護規則方面,《草案》第13條規定個資處理之法律依據,其中包括個人同意、訂立履行合同所必需、履行法定義務所必需;第14條至第17條規定有效同意之條件;第18條規定「信息處理者」之資訊告知義務。資料主體的權利方面,《草案》第25條、第44條至第48條規定個人對其個資之處理享有知情權、決定權、限制和拒絕權、查閱和複製權、更正權、刪除權、拒絕自動化決策權等權利。這些也都能從GDPR中找到對應規範。

 

再如,個資保護措施方面,《草案》第50條要求信息處理者採取安全措施,第51條要求設置「個人信息保護負責人」,第54條要求對個資處理活動進行事前風險評估。違法罰則方面,第62條允許對違反該法之信息處理者最高處以相當於上一年度營業額5%之罰款。這些制度也與GDPR的要求相呼應。

 

●    中國特色的細部規範

 

在整理類似於歐盟GDPR的框架之下,《草案》的諸多細節都富有「中國特色」,以求貼合本國監理需求、銜接既有規範。

 

《草案》並未如GDPR區分控管者(controller)和處理者(processor),而是遵循2020年5月通過之《民法典》(註2)模式,統一使用「信息處理者」的概念。「信息處理者」與GDPR下「控管者」概念相似,而GDPR下「處理者」之義務,則透過「委託處理個人信息」相關條文呈現。

 

《草案》第29條至第32條規定「敏感個人信息」之處理規則。其「敏感個人信息」並未如GDPR作窮盡(exhaustive)列舉,而是採「定義+列舉」之方式,其明文列舉之內容,並不包括政治觀點、性傾向等,但增加金融帳號戶、個人行蹤,呈現出不同於GDPR的保護邏輯。

 

《草案》第38條至第43條為資料跨境提供之規則。在類似於GDPR的安全性評估、專業機構認證、個資保護契約條款之外,第42條允許中央主管機關「中央網絡安全和信息化委員會辦公室」制定境外資料接收者「黑名單」,禁止向其提供個資。第43條規定,其他國家和地區對中國採取歧視性禁止、限制措施的,中國得採取類似措施加以反制。

 

●    全國人大的後續行動

 

《草案》是繼2020年7月公開徵求意見之《數據安全法》草案(註3)後,中國大陸今年公布的第二部與資料保護相關之法律草案。配合《民法典》與2016年《網絡安全法》(註4)中個資保護相關規範,以及今年修正之《個人信息安全規範》(註5)等國家標準,可以發現,中國大陸正致力於構建個資保護體系,個資保護規範將逐漸豐富。

 

《草案》為人大常委會初審版本,其意見徵求期將於2020年11月19日截止(註6)。徵求期結束後,人大常委會的「法制工作委員會」將參考民眾提交之意見修改草案,再次提交人大常委會會議審議。依中國大陸《立法法》與人大常委會之《議事規則》,人大常委會之法律案在交付表決前,通常需經三次審議;表決通過之後,即為正式法律。本《草案》之未來發展,達文西個資暨高科技法律事務所將為大家持續關注。

 

______________________________

 

註1:《草案》全文請見:http://www.npc.gov.cn/flcaw/flca/ff80808175265dd401754405c03f154c/attachment.pdf

註2:《民法典》全文請見:http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml

註3:《數據安全法》草案全文請見:

https://npcobserver.files.wordpress.com/2020/07/data-security-law-draft.pdf

註4:《網絡安全法》全文請見:

http://www.npc.gov.cn/wxzl/gongbao/2017-02/20/content_2007531.htm

註5:《個人信息安全規範》全文請見:

http://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=4568F276E0F8346EB0FBA097AA0CE05E

註6:《草案》意見徵求頁面請見:

http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80808175265dd401754405c03f154c

 

※歡迎註明出處後轉載。

 

延伸閱讀:

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw