撰文：王慕民 律師

審閱：葉奇鑫 律師

許    斌 博士

 

全文約5000字，閱讀約需15分鐘

 

帶有些許歐風《中華人民共和國個人信息保護法》（以下簡稱中國個資法），在2021年8月20日通過，將於2021年11月1日施行。

 

你不在中國，就在去中國的路上

這部瞄準數據應用監理而來的中國個資法，導入歐盟GDPR的域外效力規定，讓境外企業一樣受到拘束。

台灣的跨國企業、跨境電商要注意，就算不在中國境內設點，但是：

              ●   從中國境外向境內的消費者提供商品或服務；或

              ●   在中國境外分析、評估境內人民的行為，

仍然受到中國個資法的管轄。

 

第三条

在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

 

台灣企業如何因應？10大重點讓你超前部署

無論你是已經或正要進入中國市場的企業，由於中國個資法與台灣個資法存在不少差異，台灣的個資法遵已經不足應付11月施行的中國個資法，法遵工程是你必須盡速啟動的專案項目。

我們整理出10大重點，幫助台灣企業在剩下這70天內超前部署：

 

1.台灣企業要在中國設立據點，或指派代表

11月開始，沒在中國設點的台灣企業，如果因為「從境外對中國境內消費者提供商品或服務（例如跨境電商）」，或「分析、評估中國境內自然人的行為（例如線上行為追蹤）」，因而適用中國個資法的話，就必須在中國境內設立據點（專門機構），或者指定代表，負責處理個人資料保護相關事宜，並擔任主管機關的聯絡窗口。

 

第五十三条　

本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

 

2.不夠透明，就不會合法

台灣企業在取得中國自然人的資料前，要揭露法定資訊，而且要以「顯著方式」、「清晰易懂的語言」，「真實」、「準確」、「完整」揭露。

台灣企業的現行作法很可能不符要求，因為台灣個資法沒有規定這麼細致，建議企業盡快檢視自己的隱私權聲明（或類似文件），是不是能讓目標受眾「便於取得」且「易於理解」（勿忘Google在2019年，因為隱私權政策不夠透明、不容易取得，被法國開罰5千萬歐元的教訓）。

參考歐盟的建議，企業不妨在內部分為「撰寫」與「閱讀」兩組，閱讀組挑選對處理個資業務較不熟悉的同仁擔任，負責閱讀撰寫組完成的隱私權聲明，誠實地說出「是不是能理解內容」。

 

第十七条　

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

 

3.不要宰殺你的老客戶

「大數據殺熟」是中國近年火熱的話題，企業對消費者越瞭解，就越有機會利用消費者的弱點，驅使消費者採取企業想要的行為。

中國個資法禁止這樣做，台灣企業在利用個人資料，作成自動化決策的時候，要保證決策的透明度，以及結果的公平、公正，不可以對消費者有不合理的差別待遇，例如商品價格的差異。

另外，企業如果以自動化決策方式，向消費者推送資訊、行銷，要一併向消費者提供「不要根據我的特徵」來推銷的選項，或是提供方便的拒絕方式。

如果企業以自動化決策，作出對消費者權益有重大影響的決定，消費者有權利要求企業說明，也有權拒絕企業只利用自動化決策就作出決定。

 

第二十四条　

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

 

4.開店裝攝影機，不能用來分析客群輪廓

在大數據、AI等相關技術下，利用店內攝影機拍攝到的客戶影像，分析客戶的性別、年齡等屬性，甚至追蹤客戶在店內的行動軌跡，進而做出商業決策，已經不是新聞。

但中國個資法禁止這個行為（除非單獨得到同意），在公共場所安裝攝影機之類的身分識別設備，只能用於「維護公共安全」的目的，並且要設置顯著的提示標識。

 

第二十六条　

在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

 

5.公開資料可以用，但客戶也可以拒絕

台灣企業如果為了精準瞭解中國境內自然人客戶，在網路上取得客戶的公開資料（例如，利用客戶註冊的email，到各大社群平台搜尋，再取得客戶公開介紹自己的資料，或客戶公開關注的商品、服務），可以在合理範圍內處理，但客戶可以拒絕。

不過，如果會對客戶產生重大影響（目前似乎沒有判斷標準），就必須取得客戶的同意才可處理。

 

第二十七条　

个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

 

6.兒少個資特別敏感，企業務必小心

未滿14歲的兒童、少年資料，在中國個資法是敏感資料，台灣企業以兒童、少年作為處理個資的對象時，必須檢視特定目的與充分的必要性，採取嚴格的保護措施，並且告知處理資料的必要性，以及對個人權益的影響，取得父母或其他監護人的同意，甚至建立處理兒少資料的專門內部管理程序，否則很可能就會違法。

 

第二十八条　

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

 

第三十条　

个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

 

第三十一条

个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

 

7.境內資料傳到境外，法遵要件特別嚴格

台灣企業如果在中國境內儲存個人資料，要傳到境外時，必須滿足中國個資法規定的特定條件（例如通過中國政府的安全評估、經專門機構認證、與境外接收方訂定中國政府制定的標準契約條款等）。

此外，在傳輸個人資料到境外前，台灣企業要向客戶告知境外接收方的相關資訊，包含客戶可以向境外接收方行使中國個資法上的權利，以及方式和程序，然後取得客戶單獨同意，才是合法。

台灣企業在大陸雇用大量員工時應特別留意，如果處理的個人資料達到中國政府規定的數量，原則上只能將資料儲存境內，不可傳回台灣總部的人資部門，若要傳輸境外，必須通過中國政府的安全評估。

 

第三十八条　

个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

 

第三十九条　

个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

 

第四十条　

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

 

8.請注意台灣沒有的資料可攜權

為了突破數據壟斷的障礙、尊重資訊自主，中國個資法導入歐盟的資料可攜權，允許自然人在符合中國政府規定的條件時，可以要求企業將個人資料轉移給指定的其他企業。

台灣個資法目前沒有這個規定，所以台灣企業除跟進中國政府的規定條件外，也要盡早評估因應方式，例如：如何提供結構化、機器可讀、普遍使用的檔案格式，滿足中國客戶行使的資料可攜權。

 

第四十五条　

个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

 

9.處理大量個資的台灣企業，要指定個資保護負責人

類似歐盟的個資保護長（DPO）規定，中國個資法要求處理個資超過政府規定數量的企業，必須指定個資保護負責人，任務是監督企業對個人資料的處理以及保護措施。企業也須公開個資保護負責人的聯絡方式，並將有關資訊送交主管機關。

 

第五十二条　

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

 

10.事前做到個資保護影響評估

台灣企業處理個人資料，如果包含中國個資法規定的情形之一時（例如處理敏感資料、利用個資作自動化決策、委託處理個人資料等），必須事前執行個資保護影響評估（類似歐盟的DPIA）。

評估內容也須遵守中國個資法規定，包含如處理目的或方式的合法性、正當性、必要性，或是對客戶的安全風險、保護措施等。

 

第五十五条　

有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

 

第五十六条　

个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

 

倒數70天，罰錢事小，踢出市場事大？

中國個資法按照違法情節輕重，有不同處罰程度：

              ●   輕者限期改正、沒收違法所得、暫停或終止違法的應用程序（app），不改正則處人民幣100萬元以下罰款，對企業主管及其他應負責人員，也可處人民幣1萬元以上10萬元以下罰款。

               ●   重者除限期改正、沒收違法所得外，並處人民幣5千萬元以下，或前一年度營業額5%以下罰款，也可令停業或吊銷業務許可、營業執照，另對企業主管及其他應負責人員，可處人民幣10萬元以上100萬元以下罰款，還可禁止在一定期限內，擔任相關企業的董事等高階經營者和個資保護負責人。

在剩下的這70天裡，建議台灣企業切勿忽略詳實檢視對於中國個資法的法遵差異，畢竟罰錢事小（其實金額也可能不小），怕的是被一道命令踢出辛苦耕耘的中國市場，得不償失！

 

※歡迎註明出處後轉載。

---

延伸閱讀：

• 中國大陸個人信息保護法11月上路，台灣業者宜快速審慎因應：https://www.davinci.idv.tw/news/978
• 中國大陸個人信息保護法全文首次公開，達文西獨家解讀草案看點：https://www.davinci.idv.tw/news/856。
• 個資週報63｜大陸個資法和GDPR越來越像？最新修法草案新增自動化決策和資料可攜權：https://www.davinci.idv.tw/news/975。
• 本事務所受國家發展委員會委託研究之歐洲個人資料保護委員會（EDPB）《以影像裝置處理個人資料之指引》中英對照全文請見：https://www.ndc.gov.tw/nc_1871_34661。