熱門文章

【快訊】中國大陸個人信息保護法11月上路,台灣業者宜快速審慎因應

撰文:許    斌 博士

審閱:葉奇鑫 律師

王慕民 律師

 

全文約3000字,閱讀約需10分鐘

 

大陸全國人大常委會於8月20日表決通過《個人信息保護法》(註1),全法將於2021年11月1日施行,這是大陸史上首次頒布個資專法,且相較於歐盟和台灣,大陸官方給予業者的因應時間相當短。

 

今年大陸個資執法動作明顯頻繁,大陸國家互聯網信息辦公室(網信辦)依據2016年《網絡安全法》中「網絡運營者」之個資保護規範(註2),將App作為重點監管對象,不僅密集「點名」知名App違法違規「收集」使用個人信息(註3),更於7月以存在嚴重個資違法為由,下架大陸網路約車龍頭「滴滴出行」App(註4),引起高度關注。

 

可以想見,隨著《個人信息保護法》頒布,「網絡運營者」以外之其他個人信息處理者的個資保護義務,也將被明確規範,網信辦的執法範圍將會擴大,力度也會增強。台灣業者與大陸經貿往來密切,對於這部兩個多月後即將上路的個資專法,的確有進一步瞭解之必要,本文初步分析該法值得關注之重點如下:

 

1.長臂管轄:在大陸未設有據點之台灣企業也可能受到規範

不同於《網絡安全法》和《數據安全法》將其適用原則限於境內,對境外活動的監管以「嚴重」損害境內利益時「追究責任」為主,《個人信息保護法》借鏡歐盟GDPR,明文對境外實施的個人信息處理活動實施「長臂管轄」。依該法第3條,在大陸境外處理境內自然人個人信息的活動若符合下列條件之一,將有該法之適用:

             以向境內自然人提供產品或者服務為目的;

             分析評估境內自然人行為;或

             法律、行政法規規定的其他情形。

 

在網路經濟發展的時代,台灣業者如與大陸民眾往來互動,即使身處台灣,也可能「一不小心」就會落入該法境外適用範圍。

 

首先,向大陸境內自然人提供產品或者服務,是許多業者的常見行為。向大陸銷售產品自然落入此類,此外,架設網站或提供App供大陸人民使用等,也都可能構成對大陸提供服務。大陸一項制定中的國家標準「信息安全技術—數據出境安全評估指南(徵求意見稿)」(註5)認為:判斷向境內提供產品或服務的考量要素,包括使用中文、以人民幣作為結算貨幣、向中國境內配送物流等。參考以上判斷要素,如果台灣業者網站提供大陸簡體字版本、提供向大陸配送的物流選項、App在大陸App Store上架等,均可能會構成對大陸自然人提供產品或服務,並因此需要遵守《個人信息保護法》。

 

外,業者提供網站或App,還可能涉及分析、評估大陸境內自然人行為。《個人信息保護法》雖未對「分析、評估」加以定義,但從該法對於自動化決策的定義可以推知,此處的「分析、評估」,應包含透過網路追蹤分析使用者行為。換言之,網站使用cookie,或App使用廣告識別碼等追蹤使用者足跡、分析使用者偏好,即可能構成分析、評估大陸境內自然人行為,並因此需要遵守《個人信息保護法》。

 

2.台灣企業可能受到跨境傳輸之規範

即使不直接面對大陸自然人,台灣業者也可能因與大陸業者業務配合而間接需要遵守《個人信息保護法》。

 

台灣業者如自大陸業者取得大陸民眾個人信息,特別是台灣企業在大陸設廠,將大量大陸員工的個資傳輸回台灣總部之人資部門,將構成大陸個資之境外傳輸。《個人信息保護法》除透過境外適用條文實現直接適用外,還以專門章節規範個人信息跨境提供,確保該法保護標準間接適用於境外個資接收方。

 

個人信息保護法》第38條明文要求提供至中國境外的個人信息,其處理應達到該法規範的保護標準。保障適足保護的工具,包括個人信息保護認證、簽訂網信辦制定的「標準合同」等。台灣業者作為個人信息的境外接收方,可能會被要求配合認證,或簽訂標準合同,從而基於認證或契約而有義務遵守《個人信息保護法》。

 

與大陸業者的合作模式不同,台灣業者可能作為個人信息處理者,獨立承擔個人信息保護義務;也可能作為處理個人信息的受託人,需採取必要措施保障個人信息安全,並協助委託方履行個人信息保護義務。

 

3.不能以台灣個資法之觀念理解《個人信息保護法》

大陸和台灣雖然都是以歐盟作為個資立法的主要參考對象,但大陸引入了歐盟GDPR的諸多新制度,整體規範比台灣現行個人資料保護法更為嚴格。

 

個人信息保護法》的個資處理規範以「告知—同意」為核心(註6),且借鏡GDPR,要求同意應「知情、自願且明確」作出。除提供產品或服務所必需處理的個人信息外,處理者不得將「同意」作為提供產品或服務的前提。因此,台灣常見的列舉履約、行銷等複數目的,徵求當事人一次性同意的「統包式」作法,在大陸法規下可能不構成有效同意。

 

此外,不同於台灣實務上允許基於契約關係,在合理範圍內實施行銷,《個人信息保護法》參照GDPR,將契約關係所處理的個人信息範圍限於訂立、履行契約所必需。因此,縱使行銷內容與契約有合理關聯,依大陸法規可能也須取得同意。又《個人信息保護法》明定個人撤回同意之權利,要求處理者提供便捷撤回同意之方式,這在台灣個資法中尚無明文要求,實務中也鮮見業者提供撤回同意之管道。

 

《個人信息保護法》所定義的敏感個人信息(特種個資)範圍,也遠遠超出台灣現行個資法。除台灣規範的醫療個資外,金融帳戶、行蹤軌跡、未滿14歲之未成年人個人信息,也都屬於敏感個人信息。值得注意的是,《個人信息保護法》將草案中的「個人行蹤」調整為「行蹤軌跡」,可能意味著除位置資訊等實體行蹤外,個人網路活動之軌跡,也屬於敏感個人信息。處理敏感個人信息須取得單獨同意,且應執行事前「個人信息保護影響評估」並保留紀錄。台灣業者如處理大陸民眾金融帳戶或行蹤軌跡,需格外留意兩岸關於特種個資的法規差異。

 

4.重罰!台灣個資法400倍以上的罰款

《個人信息保護法》採納歐盟GDPR的重罰策略。一般違法最高可處100萬元人民幣(約合新台幣430萬元)罰款,嚴重違法最高可處5000萬元人民幣(約合新台幣2.14億元)、或上一年度營業額5%的罰款,這是台灣個資法最高額罰鍰(新台幣50萬元)的400多倍,加上台灣個資法所沒有的「上一年度營業額5%」罰款計算方式,大企業可能受罰之金額將遠超過5000萬人民幣。此外,依《個人信息保護法》,直接負責主管和其他直接責任人員也將一併受罰,情節嚴重時最高可處100萬元人民幣罰款。這不僅是台灣個資法下負責人最高額罰鍰的8倍,也無台灣個資法中已盡防止義務者免責之類似規範。

 

5.大陸個資監理版圖快速發展,台灣業者亟需整體因應

年11月即將上路的《個人信息保護法》,是繼今年6月《數據安全法》後,大陸於3個月內再度頒行個資及資安領域的「標誌性立法」。兩部重頭法律之外,大陸網信辦亦於今年主導制定《常見類型移動互聯網應用程序必要個人信息範圍規定》、《關鍵信息基礎設施安全保護條例》,並公告修改《互聯網信息服務管理辦法》、《網絡安全審查辦法》。《個人信息保護法》第62條也明確授權網信辦制定個人信息保護之具體規則,以及新技術、新應用的專門性規則。

 

這些舉措表明,大陸正著重建置完整個資與資安法規體系。隨著規範密度不斷增加、執法力度明顯增強,業者面對的監理要求日益複雜,實現法令遵循的難度也逐漸提高。大陸個資法的境外適用與間接適用,使得大陸個資法遵成為台灣業者必須直視的議題,且由於兩岸個資法規範的諸多差異,台灣業者恐需規劃整體因應方案,以降低業務營運之衝擊。

 


註1:個人信息保護法全文請見:http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

註2:網絡安全法全文請見:http://www.npc.gov.cn/wxzl/gongbao/2017-02/20/content_2007531.htm

註3:網信辦2021年5月以來相關公告請見:http://www.cac.gov.cn/2021-04/30/c_1621370239178608.htmhttp://www.cac.gov.cn/2021-05/10/c_1622225924090817.htmhttp://www.cac.gov.cn/2021-05/20/c_1623091083320667.htmhttp://www.cac.gov.cn/2021-06/11/c_1624994586637626.htm

註4:下架滴滴出行App公告全文請見:http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm

註5:該國家標準草案全文請見:http://std.samr.gov.cn/gb/search/gbDetailed?id=625516672A96BD9BE05397BE0A0A265C

註6:個人信息保護法(草案)說明請見:http://www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml

 

※歡迎註明出處後轉載。


延伸閱讀:

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw